繞過 AppLocker 系列之弱路徑規則的利用

默認情況下，AppLocker規則允許Windows文件夾和Program 文件夾內的所有文件執行，否則系統將無法正常運行。 如果這些文件夾中沒有設置適當的許可權，攻擊者就可以利用此許可權繞過AppLocker。

默認情況下，Windows 環境（Windows Server 2008 R2中進行了檢查），允許系統的標準用戶在這些文件夾中具有讀寫許可權：

C:WindowsTasks

C:WindowsTemp

C:Windowstracing

accesschk工具可用於確定 「Users」用戶組是否具有Windows文件夾內的RW許可權。

Windows文件夾的弱許可權

下一步是將二進位文件放入具有弱許可權的文件夾中並執行它。在本文的演示中，可執行文件是一個合法的應用程序——accesschk64。

AppLocker – 將二進位文件放到弱文件夾中

由於AppLocker規則允許Windows文件夾中包含的文件可以執行，所以該應用程序可以正常運行。 否則它將被AppLocker規則阻止。

AppLocker 的默認規則

AppLocker Bypass - 弱路徑規則

結論

默認實現AppLocker並不能提供任何安全措施，因為它可以被輕鬆的繞過。 由於AppLocker默認情況下信任Microsoft簽名的二進位文件和Windows文件夾，因此必須評估可執行代碼的許可權和可信任的二進位文件，以便能夠有效的保護Windows生態系統。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！