1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Представлен очередной способ обхода Windows AppLocker

Тема в разделе "Новости информационной безопасности", создана пользователем Candellmans, 25 май 2017.

  1. Candellmans
    Оффлайн

    Candellmans Активный пользователь

    Сообщения:
    460
    Симпатии:
    570
    Хакер или нечистый на руку сотрудник компании может создать и зарегистрировать специальные элементы панели управления Windows для обхода защиты с помощью Windows AppLocker. Метод, представленный исследователем безопасности Франческо Мифсудом (Francesco Mifsud), базируется на использовании файлов CPL, представляющих собой модифицированные DLL-файлы, загружающие элементы панели управления.
    [​IMG]
    Элементы панели управления не являются фиксированными, и установщики ПО могут создавать свои собственные. К примеру, поле установки видеодрайвера на панели управления появляется иконка, позволяющая управлять его настройками. Икона является файлом CPL, и при каждой его загрузке компьютер запускает control.exe name.cpl.

    Список всех файлов CPL хранится в ключе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs. По словам Мифсуда, злоумышленник может модифицировать значение данного ключа реестра и создать собственный элемент панели управления для запуска cmd.exe и выполнения вредоносных команд.

    Windows AppLocker блокирует непосредственный доступ к cmd.exe, однако это ограничение можно обойти с помощью кастомизированного элемента панели управления. Аналогичным образом можно запустить PowerShell и другие утилиты Windows.

    Windows AppLocker – компонент в Windows 7 и Windows Server 2008 R2, позволяющий указывать, какие пользователи и группы в организации могут запускать определенные приложения в зависимости от уникальных идентификаторов файлов. При использовании AppLocker можно создать правила, разрешающие или запрещающие запуск приложений.

    CPL – элемент панели управления Windows (Windows Control Panel Item). Расширение CPL связано с различными панелями управления, такими как панели управления дисплеем, консолью, мышью, свойством браузера, звуком, почтой и т.д.

    cmd.exe – интерпретатор командной строки для OS/2, Windows CE и ОС, базирующихся на Windows NT. cmd.exe является аналогом COMMAND.COM.
     
    Последнее редактирование: 25 май 2017

Поделиться этой страницей