{"id":206005,"date":"2018-07-01T01:47:00","date_gmt":"2018-06-30T23:47:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=206005"},"modified":"2023-01-30T15:37:29","modified_gmt":"2023-01-30T14:37:29","slug":"applocker-mit-squiblydoo-com-hijacking-aushebeln","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/07\/01\/applocker-mit-squiblydoo-com-hijacking-aushebeln\/","title":{"rendered":"AppLocker mit #squiblydoo COM Hijacking aushebeln?"},"content":{"rendered":"

Kann man mit einer als #squiblydoo bezeichneten Technik f\u00fcr COM Hijacking den in Windows 10 Enterprise eingebauten AppLocker-Schutz umgehen?<\/p>\n

<\/p>\n

Ich kippe hier mal einige Info-Splitter in Sachen Windows-Sicherheit und AppLocker hier im Blog-Beitrag zusammen. K\u00fcrzlich bin ich auf diesen Tweet<\/a> von @bohops gesto\u00dfen, der eine l\u00e4nger bekannte M\u00f6glichkeit zum Aufruf von COM-Funktionen mittels rundll32.exe <\/em>und dem \/sta<\/em>-Parameter \u00fcber ClassID-Codes thematisiert.<\/p>\n

\n

Interesting way to call a COM CLSID:<\/p>\n

rundll32.exe -sta {CLSID}
rundll32.exe \/sta {CLSID}<\/p>\n

Use this with @subTee's #squiblydoo<\/a> COM Hijack method for a default AppLocker Bypass<\/p>\n

Haven't found any sec-related resources with -sta (single threaded apartment)<\/p>\n

Anyone seen this before? pic.twitter.com\/6yPpsSOKpl<\/a><\/p>\n

\u2014 bohops (@bohops) 25. Juni 2018<\/a><\/p><\/blockquote>\n