Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bypass the Windows AppLocker bouncer with a tweet-size command • The Register

Mitglied: psannz

psannz (Level 2) - Jetzt verbinden

22.04.2016 um 12:54 Uhr, 2550 Aufrufe, 13 Kommentare

Sers,

damit ist AppLocker dann ein deutlich geringerer Schutz vor Malware.

Eine bittere Pille, die den Implementierungsaufwand von AppLocker in kleineren Umgebungen noch stärker in Frage stellt.

Grüße,
Philip
Mitglied: DerWoWusste
22.04.2016, aktualisiert um 13:52 Uhr
Schon getestet?
Dann sag mir bitte, ob es Dir gelingt, eine Datei außerhalb der erlaubten Orte zu starten. cmd.exe ist eh zugelassen per Defaultregel.
Wenn ich etwas Unerlaubtes damit starten will, gelingt es mir nicht.
Edit: Oder noch einfacher: modifiziere mal die Applocker-Defaultregel, so dass alles unterhalb von c:\windows nur noch für Admins erlaubt ist. Und, geht der "Exploit" noch? Natürlich nicht. Habe ich gerade auch bei theregister so kommentiert.
Bitte warten ..
Mitglied: psannz
22.04.2016, aktualisiert um 14:31 Uhr
Hallo DWW,

http://subt0x10.blogspot.de/2016/04/bypass-application-whitelisting-scr ...
https://gist.github.com/subTee/24c7d8e1ff0f5602092f58cbb3f7d302

Wenn ich jetzt nicht gerade einen Fehler in meiner Testumgebung habe, dann tut das Ding leider was es soll - AppLocker austricksen.
Auch mit fremden EXEs die ich z.B. unter c:\abc\ abgelegt hatte.
Bitte warten ..
Mitglied: Sheogorath
22.04.2016 um 14:32 Uhr
Moin,

@DerWoWusste ich glaube du hast die Idee des Exploits missverstanden. Es ging nicht darum die cmd.exe auszuführen, das war nur ein Beispiel.

Es geht darum, dass ein fetchen der URL automatisch JavaScript ausführt. (Wie eine JavaScript-Anwendung die eval() aufruft nur dass es hier nicht im Webseiten- sondern im Userkontext ausgeführt wird)

Das Problem ist also, dass hierdurch code auf dem System ausgeführt werden kann, den du nicht per AppLocker blocken kannst, da er einfach über eine Datei heruntergeladen wird und innerhalb des Speichers gehalten wird.

Das stellt ein echtes Problem dar :D wird in jedem Fall spannend ;)

Gruß
Chris
Bitte warten ..
Mitglied: DerWoWusste
22.04.2016 um 14:35 Uhr
ich glaube du hast die Idee des Exploits missverstanden
Das glaube ich nicht, das ist genau mein Fachgebiet.
Bitte warten ..
Mitglied: DerWoWusste
22.04.2016, aktualisiert um 14:47 Uhr
@psannz: was ist denn Deine Testumgebung für eine?
Hier auf win10 enterprise geht es nicht, auf Server 2012R2 auch nicht.
Beschreib mal Deine Schritte (nein, nicht das Beispiel wiederholen bitte, das geht ja aus genannten Gründen ).
Bitte warten ..
Mitglied: Sheogorath
22.04.2016 um 14:40 Uhr
Moin,

Das glaube ich nicht, das ist genau mein Fachgebiet.

Dann solltest du ja wissen welchen Schaden man mit ein bisschen JavaScript anrichten kann ;)

Gruß
Chris
Bitte warten ..
Mitglied: DerWoWusste
22.04.2016, aktualisiert um 14:46 Uhr
Dann solltest du ja wissen welchen Schaden man mit ein bisschen JavaScript anrichten kann ;)
Das weiß ich wohl. Nur ist das kein Bypassing von Applocker. Wenn regsvr32 erlaubt ist (muss man ja nicht erlauben, braucht kein Schwein von den Nutzern), dann darf der schon immer (wie jede andere erlaubte exe auch) Scriptcode ausführen. Wäre es jedoch wirklich ein Bypassing von applocker, so dürftest Du entgegen der Applocker-Regeln executables ausführen. Und das trifft nicht zu.
Bitte warten ..
Mitglied: DerWoWusste
22.04.2016 um 15:32 Uhr
Ich habe dort nun noch weiter kommentiert:

"A little more": Surely, the researcher has "found" something. He found a relatively unknown way to execute script code by means of regsvr32.exe. So if we assume that applocker users don't care for locking down their systems (?) AND use default rules AND DO NOT revise the executables these default rules do whitelist, well, then yes, this IS dangerous.

In secured environments, in addition to the default rules (if those are used at all), you would at least use NTFS ACLs to restrict usage of executables in c:\windows that are not needed to administrators. So tell me: what non-admin would ever need regsvr32? No answer expected.
Bitte warten ..
Mitglied: psannz
22.04.2016, aktualisiert um 15:35 Uhr
Sers,

Die Testumgebung waren 2012er Server mit 7er und 8.1er ENT Clients.
Problem erkannt: Audit Modus war noch aktiv. Drum lies sich die EXE in c:\abc\ starten... *Schädel senk, kein Freitags-Steak heute*

ABER: Nach Scharfschaltung von AppLocker und samt definition der Skriptregeln dass Standardnutzer keine Skripte außerhalb %WinDir% und %ProgramFiles% ausführen dürfen konnte ich mit einem einfachen Standardnutzer über den obigen Weg ein VB Skript, abgelegt im Usertemp, starten.

Aus meiner Sicht ist AppLocker damit in Bezug auf JS und VBS angreifbar.
Bitte warten ..
Mitglied: DerWoWusste
22.04.2016, aktualisiert um 16:12 Uhr
*Schädel senk, kein Freitags-Steak heute*
Freitagssteak? Nehm ich!

Nach Scharfschaltung von AppLocker und samt definition der Skriptregeln dass Standardnutzer keine Skripte außerhalb %WinDir% und %ProgramFiles% ausführen dürfen konnte ich mit einem einfachen Standardnutzer über den obigen Weg ein VB Skript, abgelegt im Usertemp, starten.
Dann gib mir bitte Dein xml-File. Ich bezweifle das mal ganz hart.

Edit:
PS: ich habe den Researcher auch angetweetet. Er hat seinen Antworttweet an mich, der mein Kommentar teils bestätigte, teils versuchte zu widerlegen, bereits wieder gelöscht. Nanu
Bitte warten ..
Mitglied: DerWoWusste
23.04.2016 um 15:36 Uhr
Moin.
Ich warte noch auf Deine Schritte zum Reproduzieren.
Bitte warten ..
Mitglied: C.R.S.
23.04.2016, aktualisiert um 18:15 Uhr
Der Redakteur hat es missverstanden:

The magic here is that if you change cmd.exe for any program outside the AppLocker whitelist, bingo: it will start, in theory.

Eben nicht. Es wird nur demonstriert, dass AppLocker keinen Skript-Code zwischen einem In-process-Server (scrobj.dll) und dessen Container (regsvr32.exe) abfängt. Works as designed...
Bitte warten ..
Mitglied: DerWoWusste
24.04.2016, aktualisiert 29.04.2017
Ich hätte an dieser Stelle noch etwas Schönes zu Applocker beizutragen: den Applocker Design Guide. Achtung - Link veraltet. Neuer Link hier
Aus dem Guide geht klar hervor, dass die Defaultregeln keinesfalls anzuwenden sind, wenn man es mit der Sicherheit genau nimmt (und wer, der Applocker nutzt, würde von sich behaupten, es nicht genau zu nehmen?):
To avoid scenarios like this, AppLocker allows the administrator to create a set of permissive
default rules that will allow the user to interact with the operating system without
restriction.[...]
While allowing an inexperienced administrator to safely interact with AppLocker, it does not
create a secure environment
. The guidance provided in this document recommends that the
default rules not be used. By following the process in this document, an administrator can
safely create a highly tailored set of AppLocker policies without the need for the default
rules.
To reiterate, DO NOT ENABLE THE DEFAULT RULES
Und um noch mal ganz klar die Defaultregeln zu dissen: ladet Euch mal AccessChk runter und macht damit auf einer elevated shell mal
Das Ergebnis dürfte Einige Unwissende doch sehr erstaunen... man kann als normaler User in diversen Unterverzeichnissen von c:\windows schreiben... kopiert man also eine Executable dorthin, hat man einen weitaus einfacheren "Bypass" als den hier verlinkten.
Bitte warten ..
Ähnliche Inhalte
Google Android
FRP Schutz Bypass oder Deaktivierung
Frage von CaptainRubikGoogle Android

Hallo liebes Forum, hat jemand von euch evtl schon Erfahrung beim zurücketzten der FRP eines Samsung Galaxy A5 SM-A520F ...

Batch & Shell
Ubuntu screen command
gelöst Frage von WPFORGEBatch & Shell4 Kommentare

Hallo, ich würde gern ein kleines bash script schreiben, welches beim neustart eines ubuntu 16.04 Servers ausgeführt werden soll ...

Batch & Shell

Powershell: 2x Invoke-command - Variable aus 2ten Invoke-Command

Frage von internet2107Batch & Shell1 Kommentar

Hallo, ich möchte gerne 2 Invoke-Command hintereinander ausführen. Das hat spezielle Gründe (Firewall). In diesem Fall muss ich mich ...

Batch & Shell

PowerShell - Invoke-Command - SkriptBlock

gelöst Frage von NetzwerkDudeBatch & Shell4 Kommentare

Moin, ich würde gerne auf einem Remotesystem prüfen ob ein Server einenen Neustart wegen eines Win Updates benötigt - ...

Neue Wissensbeiträge
Sicherheit
Alexa un Co. TU-Darmstadt entwickelt Anti-Spy Tool
Information von the-buccaneer vor 1 StundeSicherheit

Moinsen! HR-Info hatte heute ein Feature in dem das "LeakyPick" der TH-Darmstadt vorgestellt wurde. Das Tool existiert bisher nur ...

Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 2 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 4 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 5 TagenOff Topic16 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Heiß diskutierte Inhalte
Windows 10
OneDrive: GUI lädt, move nicht
Frage von holliknolliWindows 1026 Kommentare

Hallo liebe alle, befindet sich jemand aus dem Kreise der MS-Developer, speziell Onedrive unter den Teilnehmern hier? Frage: warum ...

Router & Routing
Fritzbox Feste IP-Adresse Zugang
gelöst Frage von TobiTobiRouter & Routing19 Kommentare

Guten Tag liebes Forum, Ich habe ein Problem wo ich nicht weiterkomme! Situation: Netzwerk: DSL-Modem(daytrec)-OPNSense-Netzwerk Habe aktuell mein Anschluss ...

Router & Routing
Traffic von VPS ins Heimnetz routen oder tunneln ?!
Frage von MrFeedRouter & Routing11 Kommentare

Hallo zusammen, ich stehe (erneut) vor dem Problem mit dem Dual Stack Lite Zugang. Ich betreibe mehrere Game Server ...

Netzwerke
Wake on Lan funktioniert nicht durch VLANs
gelöst Frage von NetworkersvennyNetzwerke11 Kommentare

Hi Leute, Ich versuche derzeit Wake on Lan in unserem Betrieb zu etablieren. Bios Einstellung sind an Rechnern durch ...