Представлен очередной способ обхода Windows AppLocker

Тема в разделе "Новости информационной безопасности", создана пользователем Candellmans, 25 май 2017.

  1. Candellmans

    Candellmans Активный пользователь

    Сообщения:
    643
    Симпатии:
    1.270
    Хакер или нечистый на руку сотрудник компании может создать и зарегистрировать специальные элементы панели управления Windows для обхода защиты с помощью Windows AppLocker. Метод, представленный исследователем безопасности Франческо Мифсудом (Francesco Mifsud), базируется на использовании файлов CPL, представляющих собой модифицированные DLL-файлы, загружающие элементы панели управления.
    [​IMG]
    Элементы панели управления не являются фиксированными, и установщики ПО могут создавать свои собственные. К примеру, поле установки видеодрайвера на панели управления появляется иконка, позволяющая управлять его настройками. Икона является файлом CPL, и при каждой его загрузке компьютер запускает control.exe name.cpl.

    Список всех файлов CPL хранится в ключе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs. По словам Мифсуда, злоумышленник может модифицировать значение данного ключа реестра и создать собственный элемент панели управления для запуска cmd.exe и выполнения вредоносных команд.

    Windows AppLocker блокирует непосредственный доступ к cmd.exe, однако это ограничение можно обойти с помощью кастомизированного элемента панели управления. Аналогичным образом можно запустить PowerShell и другие утилиты Windows.

    Windows AppLocker – компонент в Windows 7 и Windows Server 2008 R2, позволяющий указывать, какие пользователи и группы в организации могут запускать определенные приложения в зависимости от уникальных идентификаторов файлов. При использовании AppLocker можно создать правила, разрешающие или запрещающие запуск приложений.

    CPL – элемент панели управления Windows (Windows Control Panel Item). Расширение CPL связано с различными панелями управления, такими как панели управления дисплеем, консолью, мышью, свойством браузера, звуком, почтой и т.д.

    cmd.exe – интерпретатор командной строки для OS/2, Windows CE и ОС, базирующихся на Windows NT. cmd.exe является аналогом COMMAND.COM.
     
    Последнее редактирование: 25 май 2017
Загрузка...
Похожие темы - Представлен очередной способ
  1. Severnyj
    Ответов:
    0
    Просмотров:
    853
  2. orderman
    Ответов:
    0
    Просмотров:
    850
  3. Severnyj
    Ответов:
    3
    Просмотров:
    1.268
  4. Mila
    Ответов:
    1
    Просмотров:
    1.115
  5. Severnyj
    Ответов:
    0
    Просмотров:
    1.376
  6. Mila
    Ответов:
    0
    Просмотров:
    1.263

Поделиться этой страницей

Загрузка...