sábado, 12 de noviembre de 2011

Salto de las políticas de seguridad de AppLocker en Windows Server 2008 y Windows 7

Se ha encontrado un fallo de seguridad en AppLocker permite eludir sus políticas de seguridad.

AppLocker es una característica de Windows Server 2008 y 7, que permite a los administradores establecer reglas con el objetivo de evitar la ejecución en el sistema de aplicaciones no deseadas y/o desconocidas.

Se ha encontrado un fallo de seguridad en AppLocker que puede permitir a un atacante local eludir las políticas de seguridad y ejecutar aplicaciones no permitidas, a través de macros (de Microsoft Office, por ejemplo) o scripts especialmente manipulados.

Un malware podría hacer uso de esta vulnerabilidad, utilizando los flags 'SANDBOX_INERT' y 'LOAD_IGNORE_CODE_AUTHZ_LEVEL', para ejecutarse desde el directorio de usuarios (%system drive%:\Users ) o la carpeta temporal ( %TEMP% ) aunque éstos se encuentren protegidos por reglas de AppLocker.

Microsoft ha publicado el parche temporal Fix370118 que soluciona esta vulnerabilidad y que puede descargarse desde el siguiente enlace:


El parche temporal sólo se recomienda para aquellos sistemas que protejan con AppLocker la ejecución de ficheros y que, por tanto, se vean realmente afectados por la vulnerabilidad. En cualquier otro caso, Microsoft recomienda esperar la solución final que se publicará en una próxima actualización de seguridad.

Esta vulnerabilidad tiene asignado el identificador CVE-2011-4434. AppLocker es el "sucesor" de Software Restriction Policies (SRP). Esta última tecnología siempre ha sido "eludible" (desde que aparición en 2001 con XP) a través de ciertos programas que engañaban a la aplicación a la hora de leer el registro, programados por  Mark Russinovich. Por otro lado, Didier Stevens ya describió varias formas de eludir AppLocker en su blog hace unos meses.

Más información:

You can circumvent AppLocker rules by using an Office macro on a computer that is running Windows 7 or Windows Server 2008 R2

Juan José Ruiz


Sergio de los Santos
Twitter: @ssantosv

No hay comentarios:

Publicar un comentario en la entrada