Xάκερς μπορούν να παρακάμψουν το Windows AppLocker χαρακτηριστικό ασφαλείας της Microsoft με το να κάνουν κατάχρηση κρυφού χαρακτηριστικού του βοηθητικού προγράμματος γραμμής εντολών Regsvr32 που χρησιμοποιείται για την εγγραφή αρχείων DLL σε έναν Windows υπολογιστή.

Το AppLocker είναι ένα χαρακτηριστικό ασφαλείας που εισήχθη με τα Windows 7 και Windows Server 2008 R2, το οποίο βοηθά τους διαχειριστές να προσδιορίσουν ποιοι χρήστες ή ομάδες χρηστών επιτρέπεται να έχουν πρόσβαση και να εκτελέσουν αρχεία σε μια ανά-αρχείο βάση .

Το Regsvr32 είναι ένα scripting utility που μπορεί να χρησιμοποιηθεί από installers ή in batch scripts για να εγγραφούν γρήγορα ένα αρχείο DLL. Όπως θα φαντάζεστε, η Microsoft έχει ουδετεροποιήσει (neutered) ένα τέτοιο επικίνδυνο εργαλείο, προκειμένου να αποφευχθούν οι καταχρήσεις επιτρέποντας να τρέχουν τα δικαιώματα διαχειριστή.

Σύμφωνα με την ερευνητή ασφάλειας Casey Smith, ένας εισβολέας που έχει πρόσβαση σε έναν μολυσμένο σταθμό εργασίας των Windows μπορεί να κάνει κατάχρηση Regsvr32 για να κατεβάσει ένα COM scriptlet (.sct αρχείο) από το Διαδίκτυο και να το τρέξει για να καταχωρήσει ένα αρχείο DLL στον τοπικό υπολογιστή.

Ο εισβολέας δεν θα χρειαστεί προνόμια διαχειριστή, το Regsvr32 είναι proxy aware, μπορεί να λειτουργήσει με TLS περιεχόμενο, ακολουθώντας ανακατευθύνσεις και πάνω απ’ όλα, είναι υπογεγραμμένο από πιστοποιητικό που έχει εκδοθεί από τη Microsoft, κάνοντας όλες τις εντολές να μοιάζουν με κανονική δραστηριότητα των Windows που δουλεύουν στο παρασκήνιο.


«Δεν είναι καλά τεκμηριωμένο ότι το Regsvr32.exe μπορεί να δεχτεί μια διεύθυνση URL για ένα script«, σημείωσε επίσης η Smith. «Για να ενεργοποιηθεί αυτή η παράκαμψη, τοποθετήστε το κομμάτι του κώδικα, είτε με VB είτε με JS στο εσωτερικό του στοιχείου.»

Για περισσότερες δοκιμές, ο ερευνητής έχει δημοσιεύσει και τέσσερα proof-of-concept scripts στο GitHub τα οποία οι sysadmins μπορούν να φορτώσουν μέσω Regsvr32 και να ανοίξουν μια κερκόπορτα ή ένα reverse shell μέσω HTTP.

Θεωρητικά, αυτά τα είδη των exploits θα επιτρέψουν σε έναν χάκερ να αποκτήσει πρόσβαση στα DLLs μητρώα και στη συνέχεια, να εκτελέσει κακόβουλο κώδικα στα εκτεθειμένα μηχανήματα, ακόμα και με δικαιώματα διαχειριστή.

Πηγή: SecNews

Ακολουθήστε το Flash.gr στο Google News και μάθετε πρώτοι τις ειδήσεις