回归最本质的信息安全

绕过AppLocker系列之弱路径规则的利用

2017年7月22日发布

14,359
0
0

导语:默认情况下,AppLocker规则允许Windows文件夹和Program 文件夹内的所有文件执行,否则系统将无法正常运行。 如果这些文件夹中没有设置适当的权限,攻击者就可以利用此权限绕过AppLocker。

默认情况下,AppLocker规则允许Windows文件夹和Program 文件夹内的所有文件执行,否则系统将无法正常运行。 如果这些文件夹中没有设置适当的权限,攻击者就可以利用此权限绕过AppLocker。

默认情况下,Windows 环境(Windows Server 2008 R2中进行了检查),允许系统的标准用户在这些文件夹中具有读写权限:

C:WindowsTasks
C:WindowsTemp
C:Windowstracing

accesschk工具可用于确定 “Users”用户组是否具有Windows文件夹内的RW权限。

111.png

Windows文件夹的弱权限

下一步是将二进制文件放入具有弱权限的文件夹中并执行它。在本文的演示中,可执行文件是一个合法的应用程序——accesschk64。

222.png

AppLocker – 将二进制文件放到弱文件夹中

由于AppLocker规则允许Windows文件夹中包含的文件可以执行,所以该应用程序可以正常运行。 否则它将被AppLocker规则阻止。

333.png

AppLocker 的默认规则

444.png

AppLocker Bypass – 弱路径规则

结论

默认实现AppLocker并不能提供任何安全措施,因为它可以被轻松的绕过。 由于AppLocker默认情况下信任Microsoft签名的二进制文件和Windows文件夹,因此必须评估可执行代码的权限和可信任的二进制文件,以便能够有效的保护Windows生态系统。

本文翻译自:https://pentestlab.blog/2017/05/22/applocker-bypass-weak-path-rules/ ,如若转载,请注明来源于嘶吼: http://www.4hou.com/technology/5641.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

丝绸之路

丝绸之路

嘶吼认证-特约作者/译者

发私信

发表评论