Omgåelse av AppLocker

Publisert: 27.04.2016 | Sist endret: 11.01.2017

Innebygd Windows-verktøy kan brukes til å omgå AppLocker

AppLocker er en funksjon distribuert med Microsoft sine operativsystemer (fra og med Windows 7) som kan kontrollere hvilken programvare Windows-brukerne i virksomheten får kjøre på sine pc-er. Funksjonen gjør det mulig å begrense tilgangen til kjøring av programvare på systemet ved å hviteliste dem for visse brukergrupper, for eksempel administratorer. I tillegg kan dette hindre kjøring av skadevare.

I forrige uke ble det kjent at denne funksjonen kan omgås dersom en spesifikk kommando kjøres på systemet [1]. Verktøyet regsrv (regsrv32.exe / regsrv64.exe) innebygd i Windows kan benyttes til å omgå AppLocker ved at angriper spesifiserer en URL til en scriptfil på internett som input. Eventuelle kommandoer i denne scriptfilen vil kunne starte programmet på pc-en som ikke er hvitlistet av AppLocker.

Utnyttelse av svakheten forutsetter at angriper har mulighet til å kjøre kommandoer på systemet, og NSM NorCERT vurderer derfor ikke denne trusselen til å være kritisk. Risiko måles i mange sammenhenger som en funksjon av konsekvens og sannsynlighet. Selv om sannsynligheten for utnyttelse her anses som liten, vurderes konsekvensene av en utnyttelse som store og NSM NorCERT har derfor valgt å informere om denne svakheten.

En kjent workaround [2] er å blokkere regsrv32.exe og regsrv64.exe i brannmuren lokalt på maskinen. For å mitigere problemet helt må dog regsrv32.exe og regsrv64.exe blokkeres i AppLocker, men dette kan ha ukjente konsekvenser.

Det er til nå ukjent om Microsoft kommer til å publisere en oppdatering for å fjerne problemet. Saken er også omtalt av Digi [3], ThreatPost [4] og The Register [5].

 

Kilder:

  1. http://subt0x10.blogspot.no/2016/04/bypass-application-whitelisting-script.html
  2. http://www.csoonline.com/article/3060242/security/researcher-uses-regsvr32-function-to-bypass-applocker.html
  3. http://www.digi.no/sikkerhet/2016/04/25/viktig-sikkerhetsfunksjon-i-windows-kan-omgas-med-kort-kommando
  4. https://threatpost.com/core-windows-utility-can-be-used-to-bypass-applocker/117604/
  5. http://www.theregister.co.uk/2016/04/22/applocker_bypass/