Представлен очередной способ обхода Windows AppLocker

Хакер или нечистый на руку сотрудник компании может создать и зарегистрировать специальные элементы панели управления Windows для обхода защиты с помощью Windows AppLocker. Метод, представленный исследователем безопасности Франческо Мифсудом (Francesco Mifsud), базируется на использовании файлов CPL, представляющих собой модифицированные DLL-файлы, загружающие элементы панели управления.

Элементы панели управления не являются фиксированными, и установщики ПО могут создавать свои собственные. К примеру, поле установки видеодрайвера на панели управления появляется иконка, позволяющая управлять его настройками. Икона является файлом CPL, и при каждой его загрузке компьютер запускает control.exe name.cpl.

Список всех файлов CPL хранится в ключе реестра HKLMSoftwareMicrosoftWindowsCurrentVersionControl PanelCPLs. По словам Мифсуда, злоумышленник может модифицировать значение данного ключа реестра и создать собственный элемент панели управления для запуска cmd.exe и выполнения вредоносных команд.

Windows AppLocker блокирует непосредственный доступ к cmd.exe, однако это ограничение можно обойти с помощью кастомизированного элемента панели управления. Аналогичным образом можно запустить PowerShell и другие утилиты Windows.

Windows AppLocker – компонент в Windows 7 и Windows Server 2008 R2, позволяющий указывать, какие пользователи и группы в организации могут запускать определенные приложения в зависимости от уникальных идентификаторов файлов. При использовании AppLocker можно создать правила, разрешающие или запрещающие запуск приложений.

CPL – элемент панели управления Windows (Windows Control Panel Item). Расширение CPL связано с различными панелями управления, такими как панели управления дисплеем, консолью, мышью, свойством браузера, звуком, почтой и т.д.

cmd.exe – интерпретатор командной строки для OS/2, Windows CE и ОС, базирующихся на Windows NT. cmd.exe является аналогом COMMAND.COM.

Источник