21
Applocker absolut unsicher
Moin
ich frag mich , ob das nicht auch schon bei den Virenprogrammierer bekannt ist.
Auf winfuture kam gerade diese Meldung:
Zitat Winfuture ===============================================================
Windows: Nicht dokumentiertes Feature hebelt AppLocker aus
Der mit Windows 7 eingeführte AppLocker verspricht, das System vor nicht vorgesehen Nutzer-Aktionen und auch vor Aktivitäten von Angreifern zu schützen. Allerdings lässt sich die Sperre relativ einfach umgehen, wie ein Sicherheitsforscher jetzt vorführen konnte. AppLocker bietet Administratoren die Möglichkeit, die Ausführung von Anwendungen auf einem Windows-System recht genau zu regeln. Mit den Rechten eines bestimmten Nutzer-Accounts können dann nur Programme ausgeführt werden, die auf einer Whitelist stehen. Anwender in Firmen werden so daran gehindert, beliebige eigene Applikationen einzusetzen und auch Malware, die vielleicht aus einem E-Mail-Anhang gestartet wird, kann so keine Wirkung entfalten.
Es gibt aber einen Weg an der Sperre vorbei. Das berichtet das Kaspersky-Blog Threatpost, das sich auf einen Sicherheitsforscher beruft, der in der Sache anonym bleiben will. Microsoft sei über das Problem bereits informiert worden, es gibt derzeit allerdings noch keinen Patch, mit dem die Lücke abgedichtet wird. Es ist auch unklar, wann die Windows-Entwickler eine Lösung herausgeben.
Aktion hinterlässt kaum Spuren
Der Weg um die Sperre herum funktioniert über den Microsoft Register Server, der sich über die regsvr32.exe aus der Kommandozeile starten lässt. Im Grunde benötigt der Anwender hierfür ebenfalls Administratoren-Rechte. Sicherheitsbewussten Admins fällt hier allerdings im Zweifelsfall eine nicht dokumentierte Funktion auf die Füße.
Wenn man dem Register Server nämlich ein in JavaScript oder VBScript geschriebenes Skript zuschiebt, wird dieses ohne weitere Nachfragen verarbeitet. Die Sperre von Applocker greift dabei schlicht nicht. Hinzu kommt, dass eine solche Aktion in den üblichen Systemlogs quasi keine Spuren hinterlässt. Ein Angreifer kann so also auch noch recht einfach verschleiern, welche unerlaubten Aktionen er auf einem Zielsystem durchführt.
Zitat Ende ==================================================
Wer meint nur mit Applocker seine Systeme schützen zu müssen, sollte auch mal überlegen ob er nicht zusätzlich ein Tool von Antiransomware vom Malwarebyte oder Bitdefender auf jeden PC einsetzt !
Gruss
Werner
ich frag mich , ob das nicht auch schon bei den Virenprogrammierer bekannt ist.
Auf winfuture kam gerade diese Meldung:
Zitat Winfuture ===============================================================
Windows: Nicht dokumentiertes Feature hebelt AppLocker aus
Der mit Windows 7 eingeführte AppLocker verspricht, das System vor nicht vorgesehen Nutzer-Aktionen und auch vor Aktivitäten von Angreifern zu schützen. Allerdings lässt sich die Sperre relativ einfach umgehen, wie ein Sicherheitsforscher jetzt vorführen konnte. AppLocker bietet Administratoren die Möglichkeit, die Ausführung von Anwendungen auf einem Windows-System recht genau zu regeln. Mit den Rechten eines bestimmten Nutzer-Accounts können dann nur Programme ausgeführt werden, die auf einer Whitelist stehen. Anwender in Firmen werden so daran gehindert, beliebige eigene Applikationen einzusetzen und auch Malware, die vielleicht aus einem E-Mail-Anhang gestartet wird, kann so keine Wirkung entfalten.
Es gibt aber einen Weg an der Sperre vorbei. Das berichtet das Kaspersky-Blog Threatpost, das sich auf einen Sicherheitsforscher beruft, der in der Sache anonym bleiben will. Microsoft sei über das Problem bereits informiert worden, es gibt derzeit allerdings noch keinen Patch, mit dem die Lücke abgedichtet wird. Es ist auch unklar, wann die Windows-Entwickler eine Lösung herausgeben.
Aktion hinterlässt kaum Spuren
Der Weg um die Sperre herum funktioniert über den Microsoft Register Server, der sich über die regsvr32.exe aus der Kommandozeile starten lässt. Im Grunde benötigt der Anwender hierfür ebenfalls Administratoren-Rechte. Sicherheitsbewussten Admins fällt hier allerdings im Zweifelsfall eine nicht dokumentierte Funktion auf die Füße.
Wenn man dem Register Server nämlich ein in JavaScript oder VBScript geschriebenes Skript zuschiebt, wird dieses ohne weitere Nachfragen verarbeitet. Die Sperre von Applocker greift dabei schlicht nicht. Hinzu kommt, dass eine solche Aktion in den üblichen Systemlogs quasi keine Spuren hinterlässt. Ein Angreifer kann so also auch noch recht einfach verschleiern, welche unerlaubten Aktionen er auf einem Zielsystem durchführt.
Zitat Ende ==================================================
Wer meint nur mit Applocker seine Systeme schützen zu müssen, sollte auch mal überlegen ob er nicht zusätzlich ein Tool von Antiransomware vom Malwarebyte oder Bitdefender auf jeden PC einsetzt !
Gruss
Werner
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 302830
Url: https://administrator.de/contentid/302830
Printed on: May 6, 2024 at 18:05 o'clock
21 Comments
Latest comment
Moin,
Als Tipp ist das falsch. Das gehört als Link eingestellt.
Dann brauchst Du auch ncht soviel zu ziterien und der geneigte Leser kann es selbts an der originalquelle nachlesen.
Außerdem sollest Du das zitat von Winfuture deutlicher kennzeichen so daß man es von Deinem eigenen Geschreibsel unterscheiden kann. Und weiterhin benötigen Zitate auch eineQuellenangabe, nämlich den besgten Link bei Webseiten.
Also: Bearbeiten-Knopf-drücken und ändern!
lks
ps: https://news.google.de/news/story?ncl=dxX5v0A6wje8pcM&ned=de
Als Tipp ist das falsch. Das gehört als Link eingestellt.
Dann brauchst Du auch ncht soviel zu ziterien und der geneigte Leser kann es selbts an der originalquelle nachlesen.
Außerdem sollest Du das zitat von Winfuture deutlicher kennzeichen so daß man es von Deinem eigenen Geschreibsel unterscheiden kann. Und weiterhin benötigen Zitate auch eineQuellenangabe, nämlich den besgten Link bei Webseiten.
Also: Bearbeiten-Knopf-drücken und ändern!
lks
ps: https://news.google.de/news/story?ncl=dxX5v0A6wje8pcM&ned=de
1
Hallo Werner,
du kannnst noch so viel "Werbung" für die Anti-Ransomware von wem auch immer machen - bei den meisten von uns wird der Kram nicht im produktiven Netz aktiv werden.
Auch die o.g. Meldung wurde hier schon durch gekaut.
greetz
ravers
P.S.: Hatte bislang mit keiner Ransomware im meinem Netz probleme gehabt - ganz ohne Malwarebyte oder Bitdefender-Kram.
du kannnst noch so viel "Werbung" für die Anti-Ransomware von wem auch immer machen - bei den meisten von uns wird der Kram nicht im produktiven Netz aktiv werden.
Auch die o.g. Meldung wurde hier schon durch gekaut.
greetz
ravers
P.S.: Hatte bislang mit keiner Ransomware im meinem Netz probleme gehabt - ganz ohne Malwarebyte oder Bitdefender-Kram.
Moin Ravers,
von Werbung kann hier ja wohl nicht die Rede sein.
Hier geht es um Sicherheit von Systeme, das was gegen den Einsatz dieser Tools ist spricht ist, ich setze ja den Applocker ein.
Das der Schuss nach hinten losgehen kann, ist immer mein Reden gewesen.
Gruss
Werner
von Werbung kann hier ja wohl nicht die Rede sein.
Hier geht es um Sicherheit von Systeme, das was gegen den Einsatz dieser Tools ist spricht ist, ich setze ja den Applocker ein.
Das der Schuss nach hinten losgehen kann, ist immer mein Reden gewesen.
Gruss
Werner
Zitat von @1Werner1:
Hier geht es um Sicherheit von Systeme, das was gegen den Einsatz dieser Tools ist spricht ist, ich setze ja den Applocker ein.
Und das ganze noch einmal verständlich bitteHier geht es um Sicherheit von Systeme, das was gegen den Einsatz dieser Tools ist spricht ist, ich setze ja den Applocker ein.
Jepp
Gruß jodel32
Ein Tipp ist eine kurze Hilfestellung oder ein Hinweis wie ein Problem zu lösen ist. Der Inhalt eines Tipps besteht aus den eigenen Erfahrungen und darf nicht von einer anderen Seite oder von einem anderen Autor stammen.
Hallo,
Dann mach den sicher Du weist ja jetzt wie es geht. Dann gibt es auch kein Bypass (weder für dich noch für dein Applocker)
Gruß,
Peter
Dann mach den sicher Du weist ja jetzt wie es geht. Dann gibt es auch kein Bypass (weder für dich noch für dein Applocker)
Gruß,
Peter
Dass der Schuss nach hinten losgehen kann, ist immer mein Reden gewesen.
LOL! Wo denn, hast Du ein Risiko mit Applocker, das Du sonst nicht hättest? Wohl kaum.Lies mal Application Whitelisting - Umgang mit Systemdateien
Moin,
ich bitte dich das Ganze als Link zu posten. De Gründe dafür führten bereits @Lochkartenstanzer und @114757 auf.
Den Beitrag schieb ich schon mal ein Stück weiter in die Tonne.
Gruß,
Dani
ich bitte dich das Ganze als Link zu posten. De Gründe dafür führten bereits @Lochkartenstanzer und @114757 auf.
Den Beitrag schieb ich schon mal ein Stück weiter in die Tonne.
Gruß,
Dani
Antiransomware vom Malwarebyte
jetzt reichts langsam... durch dich habe ich schon seit längerem einen regelrechten Hass auf dieses Programm (dabei kenne ich das noch nicht mal)! In fast jedem deiner "Tipps" muss ich das jetzt lesen...
Was zahlen die dir, damit du hier Werbung machst?
1
Hallo jodel32,
da hast du vollkommen recht, das hätte ich besser als Link einstellen können.
Tut mir leid, mach ich demnächst auch.
Gruss
Werner
da hast du vollkommen recht, das hätte ich besser als Link einstellen können.
Tut mir leid, mach ich demnächst auch.
Gruss
Werner
Zitat von @1Werner1:
Hallo jodel32,
da hast du vollkommen recht, das hätte ich besser als Link einstellen können.
Tut mir leid, mach ich demnächst auch.
26.04.2016 um 16:59 UhrHallo jodel32,
da hast du vollkommen recht, das hätte ich besser als Link einstellen können.
Tut mir leid, mach ich demnächst auch.
zu geil
25.04.2016, aktualisiert um 15:27 Uhr
Manchmal dauert es halt ein wenig länger...
Hallo Pjordorf,
welche Alternative hat man, wenn das Applocker nicht so funktioniert, wie man es sich vorstellt.
gar keine.
Es sei denn, es läuft auf dem PC/Client ein Programm was im Hintergrund die Ausführung von den Schadprogrammen verhindert.
Dann kann man wenigsten das aller Schlimmste verhindern.
Hier würde man so ein Tool wie von Malwarebyte/Bitdefender einsetzen.
Gruss
Werner
welche Alternative hat man, wenn das Applocker nicht so funktioniert, wie man es sich vorstellt.
gar keine.
Es sei denn, es läuft auf dem PC/Client ein Programm was im Hintergrund die Ausführung von den Schadprogrammen verhindert.
Dann kann man wenigsten das aller Schlimmste verhindern.
Hier würde man so ein Tool wie von Malwarebyte/Bitdefender einsetzen.
Gruss
Werner
Zitat von @1Werner1:
Es sei denn, es läuft auf dem PC/Client ein Programm was im Hintergrund die Ausführung von den Schadprogrammen verhindert.
Dazu muss es aber erst einmal ein Programm als schadhaft erkennen. Bei Applocker und ähnlichen Lösungen darf schlicht nichts ausgeführt werden, was nicht freigegeben ist.Es sei denn, es läuft auf dem PC/Client ein Programm was im Hintergrund die Ausführung von den Schadprogrammen verhindert.
Hallo Edzard,
gut wenn die Virenprogrammierer, das so mit der Lücke von Applocker programmieren, kann es durchaus passieren,
das dann das Virenprogramme wie Locky seine Programme ausführen kann.
Und was dann, warten bis die Server verschlüsselt werden ?
Gruss
Werner
gut wenn die Virenprogrammierer, das so mit der Lücke von Applocker programmieren, kann es durchaus passieren,
das dann das Virenprogramme wie Locky seine Programme ausführen kann.
Und was dann, warten bis die Server verschlüsselt werden ?
Gruss
Werner
Moin Werner.
Auch wenn der Beitrag schon denn Weg Richtung Müll eingeschlagen hat: der Titel ist echt übel.
Denk doch bitte beim nächsten Mal an die Leute, die keine Zeit haben, ganze Artikel zu lesen und allen Einzelheiten nachzugehen. Die lesen dann "Applocker absolut unsicher" und glauben es vielleicht noch, weil sie davon ausgehen, dass der Autor sich damit eingehend beschäftigt hat (hast Du das wirklich?), er gibt ja schließlich einen Wissensbeitrag in einem Administratorforum zum Besten.
Wenn die Admins, die Applocker einsetzen nun alles falsch konfigurieren, ja dann ist Hopfen und Malz verloren. Geht man vom Prinzip "least privilege" aus, wobei eben nur erlaubt (gewhitelistet) wird, was auch benötigt wird, dannwürde diese Lücke niemals ausgenutzt werden können - kein User braucht regsvr32 zwingend. Von "absolut" unsicher kann wirklich keine Rede sein.
Auch wenn der Beitrag schon denn Weg Richtung Müll eingeschlagen hat: der Titel ist echt übel.
Denk doch bitte beim nächsten Mal an die Leute, die keine Zeit haben, ganze Artikel zu lesen und allen Einzelheiten nachzugehen. Die lesen dann "Applocker absolut unsicher" und glauben es vielleicht noch, weil sie davon ausgehen, dass der Autor sich damit eingehend beschäftigt hat (hast Du das wirklich?), er gibt ja schließlich einen Wissensbeitrag in einem Administratorforum zum Besten.
Wenn die Admins, die Applocker einsetzen nun alles falsch konfigurieren, ja dann ist Hopfen und Malz verloren. Geht man vom Prinzip "least privilege" aus, wobei eben nur erlaubt (gewhitelistet) wird, was auch benötigt wird, dannwürde diese Lücke niemals ausgenutzt werden können - kein User braucht regsvr32 zwingend. Von "absolut" unsicher kann wirklich keine Rede sein.
Hallo,
Gruß,
Peter
Zitat von @1Werner1:
welche Alternative hat man, wenn das Applocker nicht so funktioniert, wie man es sich vorstellt.
Nun, die Behauptung Applocker funktioniert nicht ist doch von dir eine komplette falsche Interpretation. Wo bitte steht denn das Applocker, wenn richtig angewendet, nicht funktioniert? Kannst du es *+wasserdicht** und nachvollziehbar belegen? Oftmals ist die eigene Vorstellung ja schon falsch....welche Alternative hat man, wenn das Applocker nicht so funktioniert, wie man es sich vorstellt.
Es sei denn, es läuft auf dem PC/Client ein Programm was im Hintergrund die Ausführung von den Schadprogrammen verhindert.
Warum?Hier würde man so ein Tool wie von Malwarebyte/Bitdefender einsetzen.
Du kannst es nicht lassen, gell? Werner
Werner - Beinhart.....Gruß,
Peter
Zitat von @1Werner1:
Hallo Pjordorf,
welche Alternative hat man, wenn das Applocker nicht so funktioniert, wie man es sich vorstellt.
gar keine.
Hallo Pjordorf,
welche Alternative hat man, wenn das Applocker nicht so funktioniert, wie man es sich vorstellt.
gar keine.
Doch, man könnte prüfen, wie es richtig konfiguriert wird, wie ja schon von DerWoWusste beschrieben, z.B. hier: Application Whitelisting - Umgang mit Systemdateien
Es sei denn, es läuft auf dem PC/Client ein Programm was im Hintergrund die Ausführung von den Schadprogrammen verhindert.
Macht doch dann der Applocker, was nicht per Definition freigegeben wurde, kann auch nicht ausgeführt werden.
Dann kann man wenigsten das aller Schlimmste verhindern.
Hier würde man so ein Tool wie von Malwarebyte/Bitdefender einsetzen.
Gruss
Werner
Hier würde man so ein Tool wie von Malwarebyte/Bitdefender einsetzen.
Gruss
Werner
Nöö, nicht unbedingt hilft so ein Tool (Malwarebyte/Bitdefender), es kann u.U. sogar für weniger Sicherheit sorgen, weil man sich darauf verlässt.
(der Malwareschreiber kennt schliesslich diese Programme auch und hat viell. längst einen Weg sie zu umgehen)
Jepp, zu viel Bölkstoff getankt ...
Immer dieses Nachplappern von Behauptungen ohne mal darüber nachzudenken das diese Probleme hausgemacht sind... Ein System ist immer nur so gut wie der User der es bedient.
Immer dieses Nachplappern von Behauptungen ohne mal darüber nachzudenken das diese Probleme hausgemacht sind... Ein System ist immer nur so gut wie der User der es bedient.
Moin mathu,
Nöö, nicht unbedingt hilft so ein Tool (Malwarebyte/Bitdefender), es kann u.U. sogar für weniger Sicherheit sorgen, weil man sich darauf verlässt.
(der Malwareschreiber kennt schliesslich diese Programme auch und hat viell. längst einen Weg sie zu umgehen)
Gut vielleicht gibt es demnächst ein Virus, wo kein Applocker oder ein Antiransomware nicht mehr hilft, das kann Stand heute keiner vorraussehen.
Mann hat ja auch nicht geglaubt, das mann sich überhaupt noch mit Antiransomware beschäftigen muss, dies gab es ja auch schon vor Jahren.
Stand jetzt ist aber:
Die Antiramsoware von Malwarebyte funktioniert, das habe ich selber erfahren.
Aber das muss jeder selber entscheiden, er geht ja mit dem Boot baden und nicht ich.
Ob die Sicherheit vom Applocker noch gegeben ist, wird sich herausstellen.
Gruss
Werner
Nöö, nicht unbedingt hilft so ein Tool (Malwarebyte/Bitdefender), es kann u.U. sogar für weniger Sicherheit sorgen, weil man sich darauf verlässt.
(der Malwareschreiber kennt schliesslich diese Programme auch und hat viell. längst einen Weg sie zu umgehen)
Gut vielleicht gibt es demnächst ein Virus, wo kein Applocker oder ein Antiransomware nicht mehr hilft, das kann Stand heute keiner vorraussehen.
Mann hat ja auch nicht geglaubt, das mann sich überhaupt noch mit Antiransomware beschäftigen muss, dies gab es ja auch schon vor Jahren.
Stand jetzt ist aber:
Die Antiramsoware von Malwarebyte funktioniert, das habe ich selber erfahren.
Aber das muss jeder selber entscheiden, er geht ja mit dem Boot baden und nicht ich.
Ob die Sicherheit vom Applocker noch gegeben ist, wird sich herausstellen.
Gruss
Werner
Moin DerWOWusste,
darüber kann natürlich streiten, ob man besser den Titel von der Winfuture nimmt.
Aber als ich den Artikel gelesen habe, war ich nicht mehr von den Applocker überzeugt.
Ich habe mich auch schon hier dafür entschuldigt, das ich dies nicht als link hingestellt habe.
Wenn du aber so tun möchtest, das Applocker absolut sicher ist, kannst du das natürlich machen.
Bevor es die Ransomware in der Form nicht gab, war auch jeder von seinen Antivirenprogramm überzeugt.
Gruss
Werner
darüber kann natürlich streiten, ob man besser den Titel von der Winfuture nimmt.
Aber als ich den Artikel gelesen habe, war ich nicht mehr von den Applocker überzeugt.
Ich habe mich auch schon hier dafür entschuldigt, das ich dies nicht als link hingestellt habe.
Wenn du aber so tun möchtest, das Applocker absolut sicher ist, kannst du das natürlich machen.
Bevor es die Ransomware in der Form nicht gab, war auch jeder von seinen Antivirenprogramm überzeugt.
Gruss
Werner
