Microsoft’un Applocker Flaw, kötü amaçlı uygulamaların çalıştırılmasına ve kısıtlamaları atlamasına izin verir


Microsoft'un Applocker kötü amaçlı uygulamalara izin veriyor

Microsoft’un Applocker blok listesi politikasında kritik bir yapılandırma kusuru keşfedildi ve saldırganların ince bir sürüm hatası ile güvenlik kısıtlamalarını nasıl atlayabileceğini ortaya koydu.

Sorun, Microsoft’un Uygulama Kontrol Çerçevesinde sömürülebilir bir boşluk yaratan ve kurumsal ortamlarda kesin güvenlik politikası uygulamasının önemini vurgulayan yanlış bir maksimum fileVersion değerine odaklanmaktadır.

Key Takeaways
1. Incorrect MaximumFileVersion (65355 vs 65535) opens an AppLocker bypass.
2. Tampered binaries lose valid signatures, so signed-only policies still stop attacks.
3. Fix by updating the block-list value and auditing all copied security configs.

Applocker Config Güvenlik Açığı

Varonis Tehdit Labs, güvenlik açığının Microsoft’un önerdiği Applocker konfigürasyonunda görünüşte küçük ama önemli bir tutarsızlıktan kaynaklandığını bildiriyor.

Google Haberleri

Araştırmacılar, maksimum fileVersion alanının, beklenen 6555555535.65535.65535 yerine yanlış bir şekilde 65355.65355.65355.65355’e ayarlandığını buldular.

Bu hata, kötü niyetli aktörlerin uygulama kısıtlamalarını atlamak için kullanabileceği bir sürüm aralığı boşluğu oluşturur.

Sorunlu yapılandırma, Microsoft’un blok listesinde şu şekilde görünür:

65535, imzasız bir 16 bit tamsayı için maksimum değeri temsil ettiğinden, 65355.65355.65355.65355 ve 65535.65535.65535.65535 arasında yapılan herhangi bir yürütülebilir, teorik olarak politika uygulamalarından geçebilir.

Bir saldırgan, blok listesinde olmasına rağmen yürütülmesine izin vererek yapılandırılmış maksimumu aşacak şekilde engellenen bir yürütülebilir versiyon meta verisini değiştirebilir.

Bu keşif başlangıçta görünse de, pratik güvenlik etkisi Microsoft’un katmanlı güvenlik yaklaşımı ile önemli ölçüde azaltılmaktadır.

Applocker blok listesi ilkesi, yalnızca imzalı yürütülebilir dosyaların sistemde çalışmasına izin veren kod imzalama gereksinimleriyle birlikte çalışmak üzere tasarlanmıştır.

Bir saldırgan yürütülebilir bir sürüm bilgilerini değiştirdiğinde, bu işlem dosyanın dijital imzasını kaçınılmaz olarak bozar ve değiştirilmiş dosyanın daha geniş “yalnızca imzalı yürütülebilir ürünler” kuralı tarafından engellenmesine neden olur.

Bu çok katmanlı güvenlik tasarımı, bir kontrol mekanizması kusura sahip olsa bile, tamamlayıcı güvenlik önlemlerinin sömürüyü önleyebileceğini göstermektedir.

Bununla birlikte, kod imzalama politikaları uygulamadan yalnızca blok listesine güvenen kuruluşlar potansiyel olarak bu bypass tekniğine karşı savunmasız olabilir.

Microsoft, belge kaynağını adresler

Hatanın kökeniyle ilgili soruşturma, onu Microsoft’un kendi belgelerine kadar takip etti. Yanlış 65355 değeri, Microsoft’un Varonis’in sorumlu ifşasını takiben düzeltilen yayınlama sayfası belgesinde ortaya çıktı.

Bu olay, yöneticiler kapsamlı bir doğrulama olmadan yapılandırmaları kopyaladıklarında dokümantasyon hatalarının üretim güvenlik politikalarına nasıl yayılabileceğini vurgulamaktadır.

Keşif, güvenlik profesyonellerinin tüm politika yapılandırmalarını dikkatlice gözden geçirmeleri, güvenlik kurallarının kör kopyalamasından kaçınması ve derinlemesine savunma stratejilerini uygulamaları gerektiğini hatırlatıyor.

Applocker kullanan kuruluşlar, maksimum fileVersion ayarlarını uygun değerlere güncellemeyi ve potansiyel bypass’ları önlemek için kapsamlı uygulama kontrol politikalarının mevcut olmasını sağlamalıdır.

Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi



Source link