Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 26.04.2016, 08:40   #1032
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 562

kroxus вне форума

IT-безопасность-свежие новости.


Ключевая утилита Windows помогает обойти AppLocker

Служебную программу командной строки Regsvr32, выполняющую регистрацию DLL в реестре Windows, можно использовать для удаленного исполнения кода в обход средств защиты, работающих на основании белых списков, – таких как AppLocker.

Эту возможность обнаружил и приватно раскрыл Microsoft исследователь, пожелавший остаться инкогнито. Пока неясно, будет ли решение Microsoft оформлено бюллетенем безопасности или появится в будущем релизе.

Утилита Regsvr32, также известная как Microsoft Register Server, – это подписанный Microsoft бинарный код, работающий на Windows по умолчанию. PoC-атака, разработанная исследователем, позволяет загружать и запускать JavaScript или VBScript, используя URL, вызываемый из командной строки. При этом сценарии атакующий должен находиться в системе. Технические детали PoC были [Ссылки могут видеть только зарегистрированные пользователи. ] на прошлой неделе.

«JavaScript и VBScript блокируются многими защитными средствами, работающими по белым спискам, но здесь ограничений не будет, – пояснил исследователь журналистам Threatpost. – Тот факт, что код размещен на удаленной системе, предельно облегчает задачу. Кроме того, Regsvr32 поддерживает прокси и SSL, а значит, дополнительных настроек не потребуется. Можно добиться исполнения из любой удаленной точки».

По словам исследователя, возможность абьюза он открыл, исследуя способы обхода AppLocker. «На самом деле патч здесь не требуется, это не эксплойт, – добавляет собеседник Threatpost. – Это просто использование штатного инструмента непредусмотренным образом. По сути это обход, тактика маневра уклонения».

Проблему усугубляет тот факт, что Regsvr32 обычно требует прав администратора для запуска, лишь в этом случае утилита сможет регистрировать COM-объекты и DLL в операционной системе. «Ее обычно запускают только админы, – подтвердил исследователь-аноним. – Однако в данном случае я могу запустить ее как обычный пользователь. Мне удалось вызвать незарегистрированные методы и исполнить их с правами обычного пользователя».

В [Ссылки могут видеть только зарегистрированные пользователи. ] по Regsvr32 нет и намека на то, что утилита может принимать скрипты из интернета. В ходе недавних атак бесфайловых зловредов их загрузка из интернета осуществлялась с помощью Windows PowerShell; похоже, новую лазейку можно использовать аналогичным образом.

Автор PoC также подчеркнул, что обнаружить такую атаку будет очень трудно. «В системе остается не так уж много следов исполнения, – отметил исследователь, добавив, что аудитор командной строки вроде SysMon, конечно, зафиксирует в логах, что кто-то запустил Regsvr32 с URL в параметре. – Поскольку файл загружается по ссылке, отпечаток будет минимальным. Не уверен, что в системе при этом останется много индикаторов прогона».

[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика