绕过AppLocker系列之弱路径规则的利用
导语:默认情况下,AppLocker规则允许Windows文件夹和Program 文件夹内的所有文件执行,否则系统将无法正常运行。 如果这些文件夹中没有设置适当的权限,攻击者就可以利用此权限绕过AppLocker。
默认情况下,AppLocker规则允许Windows文件夹和Program 文件夹内的所有文件执行,否则系统将无法正常运行。 如果这些文件夹中没有设置适当的权限,攻击者就可以利用此权限绕过AppLocker。
默认情况下,Windows 环境(Windows Server 2008 R2中进行了检查),允许系统的标准用户在这些文件夹中具有读写权限:
C:WindowsTasks C:WindowsTemp C:Windowstracing
accesschk工具可用于确定 “Users”用户组是否具有Windows文件夹内的RW权限。
Windows文件夹的弱权限
下一步是将二进制文件放入具有弱权限的文件夹中并执行它。在本文的演示中,可执行文件是一个合法的应用程序——accesschk64。
AppLocker – 将二进制文件放到弱文件夹中
由于AppLocker规则允许Windows文件夹中包含的文件可以执行,所以该应用程序可以正常运行。 否则它将被AppLocker规则阻止。
AppLocker 的默认规则
AppLocker Bypass - 弱路径规则
结论
默认实现AppLocker并不能提供任何安全措施,因为它可以被轻松的绕过。 由于AppLocker默认情况下信任Microsoft签名的二进制文件和Windows文件夹,因此必须评估可执行代码的权限和可信任的二进制文件,以便能够有效的保护Windows生态系统。
发表评论
提供云计算服务