本文講的是<b>繞過AppLocker系列之弱路徑規則的利用</b>,預設情況下,AppLocker規則允許Windows檔案夾和Program 檔案夾内的所有檔案執行,否則系統将無法正常運作。 如果這些檔案夾中沒有設定适當的權限,攻擊者就可以利用此權限繞過AppLocker。
預設情況下,Windows 環境(Windows Server 2008 R2中進行了檢查),允許系統的标準使用者在這些檔案夾中具有讀寫權限:
Windows檔案夾的弱權限
下一步是将二進制檔案放入具有弱權限的檔案夾中并執行它。在本文的示範中,可執行檔案是一個合法的應用程式——accesschk64。
AppLocker – 将二進制檔案放到弱檔案夾中
由于AppLocker規則允許Windows檔案夾中包含的檔案可以執行,是以該應用程式可以正常運作。 否則它将被AppLocker規則阻止。
AppLocker 的預設規則
AppLocker Bypass – 弱路徑規則
結論
預設實作AppLocker并不能提供任何安全措施,因為它可以被輕松的繞過。 由于AppLocker預設情況下信任Microsoft簽名的二進制檔案和Windows檔案夾,是以必須評估可執行代碼的權限和可信任的二進制檔案,以便能夠有效的保護Windows生态系統。
原文釋出時間為:2017年7月22日
本文作者:絲綢之路
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/technology/5641.html" target="_blank">原文連結</a>