Исследователь в области безопасности Кейси Смит обнаружил уязвимость, которая позволяет обойти блэклист AppLocker и с помощью одной строки кода запустить практически любое приложение в наиболее защищённых системах Windows, например, в Windows 10 Enterprise, пишет WinBeta.
Windows AppLocker впервые появился в системах Microsoft с релизом Windows Server 2008 R2 и Windows 7. По сути, эта функция позволяет администратору задавать определенные правила для приложений, определяя, что может и чего не может запустить пользователь (или группа пользователей). К примеру, можно запретить запуск на компьютере любых программ, которые не относятся к рабочей деятельности сотрудника.
Как выяснил Смит, через обращение к Regsvr32 можно запустить любой файл в обход политик AppLocker, причем для этого не требуются даже права администратора. Исполнение специальной команды приведет к скачиваю
Атака не оставляет следов на жестком диске и в реестре, а в арсенале Microsoft пока не существует соответствующей «заплатки» для этой уязвимости. Представители компании пока лишь начали работу над «лечащим» патчем, а до момента его выпуска пользователи могут отключить Regsvr32.exe и Regsvr64.exe с помощью брандмауэра Windows.