Исследователь в области безопасности Кейси Смит обнаружил уязвимость, которая позволяет обойти блэклист AppLocker и с помощью одной строки кода запустить практически любое приложение в наиболее защищённых системах Windows, например, в Windows 10 Enterprise, пишет WinBeta.

Windows AppLocker впервые появился в системах Microsoft с релизом Windows Server 2008 R2 и Windows 7. По сути, эта функция позволяет администратору задавать определенные правила для приложений, определяя, что может и чего не может запустить пользователь (или группа пользователей). К примеру, можно запретить запуск на компьютере любых программ, которые не относятся к рабочей деятельности сотрудника.

Как выяснил Смит, через обращение к Regsvr32 можно запустить любой файл в обход политик AppLocker, причем для этого не требуются даже права администратора. Исполнение специальной команды приведет к скачиваю XML-файла, который приведет к запуску cmd.exe. Кроме того, cmd.exe можно заменить на любую другую программу и не важно, какие ограничения установлены в AppLocker: программа всё равно успешно запустится. Компьютерные мошенники могут при помощи этой команды зайти в систему Windows и запустить любое приложение, находящееся в компьютере.

Атака не оставляет следов на жестком диске и в реестре, а в арсенале Microsoft пока не существует соответствующей «заплатки» для этой уязвимости. Представители компании пока лишь начали работу над «лечащим» патчем, а до момента его выпуска пользователи могут отключить Regsvr32.exe и Regsvr64.exe с помощью брандмауэра Windows.

Версия для печати (без изображений)