Salto de las politicas de seguridad en AppLocker
Se ha encontrado un fallo de seguridad en AppLocker permite eludir sus
políticas de seguridad.
AppLocker es una característica de Windows Server 2008 y 7, que permite
a los administradores establecer reglas con el objetivo de evitar la
ejecución en el sistema de aplicaciones no deseadas y/o desconocidas.
Se ha encontrado un fallo de seguridad en AppLocker que puede permitir
a un atacante local eludir las políticas de seguridad y ejecutar
aplicaciones no permitidas, a través de macros (de Microsoft Office,
por ejemplo) o scripts especialmente manipulados.
Un malware podría hacer uso de esta vulnerabilidad, utilizando los flags
‘SANDBOX_INERT’ y ‘LOAD_IGNORE_CODE_AUTHZ_LEVEL’, para ejecutarse desde
el directorio de usuarios (%system drive%:\Users ) o la carpeta temporal
( %TEMP% ) aunque éstos se encuentren protegidos por reglas de
AppLocker.
Microsoft ha publicado el parche temporal Fix370118 que soluciona esta
vulnerabilidad y que puede descargarse desde el siguiente enlace:
http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2532445&kbln=en-us
El parche temporal sólo se recomienda para aquellos sistemas que
protejan con AppLocker la ejecución de ficheros y que, por tanto, se
vean realmente afectados por la vulnerabilidad. En cualquier otro caso,
Microsoft recomienda esperar la solución final que se publicará en una
próxima actualización de seguridad.
Esta vulnerabilidad tiene asignado el identificador CVE-2011-4434.
AppLocker es el “sucesor” de Software Restriction Policies (SRP). Esta
última tecnología siempre ha sido “eludible” (desde que aparición en
2001 con XP) a través de ciertos programas que engañaban a la aplicación
a la hora de leer el registro, programados por Mark Russinovich. Por
otro lado, Didier Stevens ya describió varias formas de eludir AppLocker
en su blog hace unos meses.
__________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Los comentarios están cerrados.