Pavel Ignatov - Fotolia

F

Windows-Schwachstelle erlaubt Umgehung von Applocker-Regeln

Admins können per Applocker Anwendungen auf eine Whitelist setzen. Dies lässt sich per Schwachstelle ausnutzen. Wie können Unternehmen sich schützen?

Applocker ist ein Tool von Microsoft, dass es erlaubt Anwendungen auf eine Black- oder Whitelist zu setzen. Das mit Windows 7 eingeführte Werkzeug ist prinzipiell ein probates Mittel, um die Sicherheit zu erhöhen. Eine Schwachstelle erlaubt jedoch das Umgehen von Applocker.

Außerhalb der Welt der Windows-Admins, die seit den Tagen von Windows NT mit den Interna vertraut sind, wissen nur wenige um die Komplexität des Scripting in modernen Windows-Versionen. Heute werden Aufgaben in der Regel mit Hilfe der populären PowerShell automatisiert, traditionell erfolgte dies über verschiedene Batch- und Scripting-Lösungen.

Die Scripting-Tools von Microsoft für Admins sind vergleichsweise leistungsfähig. Insbesondere, die von Entwicklern genutzte COM+-Komponenten weisen eine gewisse Komplexität auf. COM-Komponenten können beispielsweise als Laufzeitmodule (DLL) umgesetzt sein. Längst nutzen Hacker auch diese regulären Werkzeuge und nicht nur spezielle Malware, um sich Zutritt zu Unternehmensnetzwerken zu verschaffen und verwenden diese Software gegen ihre Angriffsziele.

Bereits im April 2016 hat der Sicherheitsforscher Casey Smith eine Schwachstelle in Windows Applocker ausgemacht. Über das Befehlszeilen-Tool regsvr32 lässt sich eine bösartige *.sct-Datei aufrufen, die Funktionalität in COM+ ausnutzt, um schädliche Befehle im Kontext des aktuellen Benutzers auszuführen. Ein Risiko dieser Sicherheitslücke ist, dass der Angreifer dann auf dem System des Nutzers in dessen Kontext nach weiteren Schwachstellen suchen kann.

Unternehmen können sich vor solchen Angriffen auf Legacy-Funktionen schützen, in dem sie derlei Funktionen per Gruppenrichtlinie deaktivieren. Dazu können Admins das Microsoft-Toolset verwenden, um entsprechende Richtlinien an alle via Active Directory angebundenen Endgeräte auszurollen.

Zudem kann man nicht benötigte ausführbare Dateien von den Systemen entfernen oder den Zugriff darauf unterbinden. Allerdings kann dies häufig unerwartete Seiteneffekte haben. Zusätzliche Sicherheits-Tools in Sachen Whitelistening und auch Host-Intrusion-Detection-Systeme können Schutz bieten. Zudem kann man Systeme und Firewalls so konfigurieren, dass nur von überprüften, ausführbaren Dateien ausgehende Verbindungen möglich sind.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Black- und Whitelisting von Anwendungen mit Windows AppLocker.

System und Anwendungen gegen Attacken schützen.

Windows Server: Mehr Sicherheit mit Gruppenrichtlinien.

So lassen sich Kerberos-Schwachstellen schließen.

 

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close