安全研究人員發(fā)現(xiàn)，通過使用Windows命令行使用程序(可追溯到Windows XP)，基于Windows AppLocker的應(yīng)用白名單保護(hù)可以被繞過。當(dāng)結(jié)合托管在遠(yuǎn)程主機(jī)上的腳本時(shí)，這個(gè)漏洞可允許攻擊者運(yùn)行不在Windows AppLocker白名單中的軟件。

[[167200]]

根據(jù)微軟表示，這個(gè)使用程序Regsvr32主要用于“注冊(cè)和注銷OLE(對(duì)象鏈接和嵌入)空間，例如(動(dòng)態(tài)鏈接庫(kù))以及Windows注冊(cè)表中的ActiveX控制。”但研究人員Casey Smith報(bào)道稱，該命令可指向一個(gè)URL，而不是本地腳本;在該URL托管的腳本將會(huì)執(zhí)行，繞過Windows AppLocker白名單限制。

“令人驚奇的是，Regsvr32已經(jīng)是代理服務(wù)器感知，使用傳輸層安全，遵循重定向等，”Smith寫道，并指出該使用程序還是“一個(gè)簽名的默認(rèn)MS二進(jìn)制”，這意味著利用該漏洞可簡(jiǎn)化任何攻擊。

RSA公司營(yíng)銷總監(jiān)Robert Sadowski表示：“這項(xiàng)技術(shù)在熟練的攻擊者手里可能很危險(xiǎn)。”

“攻擊者將需要訪問受害者的機(jī)器，但不需要具有管理員權(quán)限，”Sadowski表示，“他們能夠運(yùn)行被阻止的腳本，而這本應(yīng)被AppLocker的腳本阻止功能所阻攔。”

Smith的概念證明腳本表明這種攻擊具有破壞的潛力，Sadowski稱這可用于網(wǎng)絡(luò)釣魚或路過式漏洞利用。他表示：“而且這種攻擊難以檢測(cè);它直接通過內(nèi)置Windows命令來執(zhí)行，唯一的蹤跡是IE瀏覽器中一個(gè)緩存文件，Windows注冊(cè)表中沒有任何蹤跡。”

自動(dòng)威脅管理供應(yīng)商Vectra公司首席安全官Gunter Ollmann表示：“Windows AppLocker繞過攻擊是傳統(tǒng)代碼和向后兼容功能被攻擊者利用以攻擊較新的安全措施的一個(gè)較為有趣的例子。”

Ollmann稱：“對(duì)于任何經(jīng)驗(yàn)豐富的系統(tǒng)管理員而言，類似這樣的繞過攻擊出現(xiàn)在任何基于主機(jī)的攔截技術(shù)中并不奇怪。這個(gè)被遺忘的MS-DOS命令行功能和注冊(cè)表操縱一直是安全人員的噩夢(mèng)。”

“如果你有安裝Windows AppLocker來阻止入侵或惡意軟件感染，這可能是非常危險(xiǎn)的漏洞，如果沒有得到修復(fù)，這會(huì)帶來很大的風(fēng)險(xiǎn)，”托管安全服務(wù)提供商Rook Security公司安全工程師兼取證分析師Daniel Ford表示，“對(duì)應(yīng)用采用白名單技術(shù)并阻止其他未經(jīng)授權(quán)應(yīng)用是很多企業(yè)采用的保護(hù)措施。如果你安裝了Windows AppLocker來抵御惡意軟件滲出數(shù)據(jù)，那么這個(gè)漏洞可被用來繞過這種保護(hù)。”

Ford建議不要依靠Windows AppLocker，“請(qǐng)確保部署多層安全措施，例如更新的防病毒、IDS/IPS(入侵檢測(cè)系統(tǒng)/入侵防御系統(tǒng))、防火墻和其他安全工具。當(dāng)這個(gè)漏洞的補(bǔ)丁推出時(shí)，最好馬上安裝它。”

現(xiàn)在保護(hù)環(huán)境的最簡(jiǎn)單方法是在防火墻級(jí)別阻止Regsvr32，拒絕它訪問互聯(lián)網(wǎng)。