Depuis quelques jours circule sur internet la manière simple de contourner le blocage d’Applocker, en profitant d’une fonctionnalité peu connue de regsvr32.Exe: l’exécution de code hébergé sur internet.

Pour plus de détails, lisez ici: subTee: Bypass Application Whitelisting Script Protections – Regsvr32.exe & COM Scriptlets (.sct files)

L’idée étant que chez mon client actuel, Applocker doit être implémenté de manière à sécuriser les exécutables et binaires du système. Pas question donc de laisser passer cette faille !

Solution simple 1 : pas de compte à privilège élevé sur le poste (déjà le cas sur mon PoC).

Solution complémentaire : utiliser le pare-feu Windows pour empêcher regsvr32.exe de communiquer avec l’extérieur (pas de besoin apparent de toute façon de le laisser passer) …pour cela très simplement, créez une règle de trafic sortant qui bloque cet exécutable !

Et voilà notre poste protégé en attendant l’éventuel fixe de Microsoft, s’il arrive un jour !

Sécurisez vos postes

PierrE.