استفاده از ابزارهای هسته ویندوز برای دور زدن AppLocker

   
نام نویسنده:
|
دسته بندی:
|
یک ابزار خط-فرمان هسته‌ی ویندوز به نام Regsvr۳۲ که برای ثبت DDL ها در ویندوز به کار می‌رود، اخیراً برای اجرای کد از راه دور از طریق اینترنت و دور زدن حفاظت‎های لیست-سفید از جمله AppLocker مایکروسافت مورد سوء استفاده قرار گرفته است.

محققی که تمایل ندارد نامش فاش شود این مشکل را پیدا کرده و به طور خصوصی به مایکروسافت اطلاع داده ‌است. مشخص نیست که آیا مایکروسافت می‌خواهد این آسیب‎پذیری را با یک اطلاعیه وصله کند یا به‌روزرسانی آن را به نسخه‎ی بعدی موکول می‎کند.

Regsvr۳۲ که سرور ثبت مایکروسافت نیز نام دارد، یک پرونده‎ی دودویی مایکروسافت است که به صورت پیش فرض روی ویندوز قرار داشته و اجرا می‎شود.

اصطلاح اثبات مفهومی محققان، به این پرونده اجازه‌ی بارگیری و اجرای جاوا اسکریپت یا VB اسکریپتی را می‌دهد که URL آن در خط-فرمان نوشته شده است.

این محقق گفته‌ است حمله کننده با سوءاستفاده از این موقعیت از جعبه‌ای که در آن اجرا می‌شود، شروع به جاسوسی می‌کند.

این محقق به Threat post گفت: «بسیاری از لیست‌های سفید برای حفاظت از سامانه، جاوا اسکریپت یا VB اسکریپت را مسدود می‌کنند و هیچ مانع و محدودیتی در این زمینه وجود ندارد. بدیهی ست که کد روی یک سامانه راه دور میزبانی می‌شود و از آنجایی که Regsvr۳۲ یک پروکسی و آگاه از SSL است، به هیچ پیکربندی دیگری نیاز نیست و می‌توان کد را از هر مقصد راه دوری اجرا کرد».

این محقق اظهار کرد هنگام تلاش برای دور زدن AppLocker، به این مشکل پی برده است. او گفت: «در واقع هیچ وصله‎ای برای این مشکل وجود ندارد زیرا این مسئله یک آسیب‎پذیری و سوء استفاده نیست و فقط یک استفاده غیرمعمول از یک ابزار است. به عبارت دیگر نوعی روش دور زدن و گریز است».

پیچیدگی این موضوع به این دلیل است که Regsvr۳۲ به طور عادی از سطح دسترسی مدیر درخواست اجرا می‌کند تا بتواند شیء COM (مدل شیءگرای اجزا) و DLL ها را بر روی سامانه‎عامل ثبت کند.

او گفت: «معمولاً مدیران می‌توانند این را اجرا کنند. اما در این مورد، من هم‌ می‌توانم آن را به عنوان یک کاربر عادی اجرا کنم. می‌توانم از روش‌های ثبت نشده استفاده کنم و به عنوان کاربر معمولی آن‌ها را اجرا کنم.»

اسناد موجود مربوط به Regsvr۳۲، پذیرش و اجرای اسکریپت‌ها از اینترنت را نشان نمی‎دهد. اخیراً حملات بدافزار بدون-‌پرونده از PowerShell ویندوز برای بارگیری بدافزار از اینترنت استفاده می‌کنند. ظاهراً این مشکل می‌تواند در شرایط مشابهی مورد سوءاستفاده قرار گیرد».

این محقق اظهار داشت که شناسایی این دسته از حملات بسیار سخت خواهد بود. همچنین در ادامه گفت: «آثار زیادی روی جعبه باقی نمی‎ماند تا نشان دهد کد مخربی در حال اجراست. همچنین ابزاری همچون SysMon برای ثبت دستورات خط-فرمان می‎تواند نشان دهد که شخصی در حال اجرای Regsvr۳۲ با یک URL است. چون پرونده از یک URL بارگیری شده است، هیچ مدرک دیگری برای این که نشان دهد فعالیت مخربی در حال اجراست وجود ندارد.»

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید