搜索

Windows AppLocker被绕过:攻击者可不提权联网注入DLL

gecimao 发表于 2019-05-05 01:45 | 查看: | 回复:

  (原标题:Windows AppLocker被绕过:攻击者可不提权联网注入DLL)

  AppLocker是Windows 7和Windows Server 2008 R2中引入的一项安全功能,旨在帮助管理员们指定哪个用户或用户组能够访问/运行某一个文件。然而据外媒报道,已经有人找到了利用Windows系统中Regsvr32命令行工具的某个隐藏特性,来绕过Windows AppLocker安全措施并正常注册动态链接库(DLLs)的方法。

  Regsvr32则是一款可被安装工具(或批处理脚本)使用,以便快速注册动态链接库的脚本工具。

  照理说,微软既然把这款“中性”而又危险的工具留在系统中,就应该管好它不被管理员之外的人所滥用。但遗憾的是,我们几乎不可能检测到这种类型的攻击。

  据安全研究人员Casey Smith所述,当攻击者在某台受感染的工作站上立足之后,就可以滥用Regsvr32、通过网络下载一个COM脚本程序(.sct文件),然后在本地机器上注册一个DLL。

  更糟糕的是,攻击者甚至无需取得管理员权限。Regsvr32可借助代理和TLS连接、重定向等功能,并且它拥有微软自家的证书,所以可以执行任何看似正常的背景活动命令。

  Smith还指出,“regsvr32能够接收的脚本网址没有很好的记录,要触发这一 旁路 ,可以把内置VB和JS元素的代码块放进去”。

  在进一步的测试中,研究人员还在GitHub上放出了系统管理员能够下载的“概念验证脚本”(通过Regsvr32并打开一个后门、或者基于HTTP的反向shell)。

  从理论上来说,这种类型的“漏洞”允许攻击者访问注册所有DLL,然后在被感染的计算机上执行恶意代码,更别说管理员权限了。

本文链接:http://jonnutting.com/dongtailianjieku/269.html
随机为您推荐歌词

联系我们 | 关于我们 | 网友投稿 | 版权声明 | 广告服务 | 站点统计 | 网站地图

版权声明:本站资源均来自互联网,如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

Copyright @ 2012-2013 织梦猫 版权所有  Powered by Dedecms 5.7
渝ICP备10013703号  

回顶部