AppLocker Hack avec Regsvr32.exe


Depuis quelques jours circule sur internet la manière simple de contourner le blocage d’Applocker, en profitant d’une fonctionnalité peu connue de regsvr32.Exe: l’exécution de code hébergé sur internet.

Pour plus de détails, lisez ici: subTee: Bypass Application Whitelisting Script Protections – Regsvr32.exe & COM Scriptlets (.sct files)

L’idée étant que chez mon client actuel, Applocker doit être implémenté de manière à sécuriser les exécutables et binaires du système. Pas question donc de laisser passer cette faille !

Solution simple 1 : pas de compte à privilège élevé sur le poste (déjà le cas sur mon PoC).

Solution complémentaire : utiliser le pare-feu Windows pour empêcher regsvr32.exe de communiquer avec l’extérieur (pas de besoin apparent de toute façon de le laisser passer) …pour cela très simplement, créez une règle de trafic sortant qui bloque cet exécutable !

clip_image002

clip_image004

clip_image006

clip_image008

clip_image010

clip_image012

clip_image014

Et voilà notre poste protégé en attendant l’éventuel fixe de Microsoft, s’il arrive un jour !

Sécurisez vos postes Smile

PierrE.

A propos Red Kaffe

IT Trainer and Consultant on Microsoft Technologies. Windows Server and Client, Service Center 2012, WSUS/MDT/ADK/WAIK, SBS 2008/2011, Office 365, etc. Fully dedicated to support and train my customers...
Cet article, publié dans Deployment, Security, Windows 7, Windows 8, Windows 8.1, Windows10, est tagué , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s