Windows: Nicht dokumentiertes Feature hebelt AppLocker aus

Administrator, Kommandozeile, ELE
Der mit Windows 7 eingeführte AppLocker verspricht, das System vor nicht vorgesehen Nutzer-Aktionen und auch vor Aktivitäten von Angreifern zu schützen. Allerdings lässt sich die Sperre relativ einfach umgehen, wie ein Sicherheitsforscher jetzt vorführen konnte.
AppLocker bietet Administratoren die Möglichkeit, die Ausführung von Anwendungen auf einem Windows-System recht genau zu regeln. Mit den Rechten eines bestimmten Nutzer-Accounts können dann nur Programme ausgeführt werden, die auf einer Whitelist stehen. Anwender in Firmen werden so daran gehindert, beliebige eigene Applikationen einzusetzen und auch Malware, die vielleicht aus einem E-Mail-Anhang gestartet wird, kann so keine Wirkung entfalten.

Es gibt aber einen Weg an der Sperre vorbei. Das berichtet das Kaspersky-Blog Threatpost, das sich auf einen Sicherheitsforscher beruft, der in der Sache anonym bleiben will. Microsoft sei über das Problem bereits informiert worden, es gibt derzeit allerdings noch keinen Patch, mit dem die Lücke abgedichtet wird. Es ist auch unklar, wann die Windows-Entwickler eine Lösung herausgeben.

Aktion hinterlässt kaum Spuren

Der Weg um die Sperre herum funktioniert über den Microsoft Register Server, der sich über die regsvr32.exe aus der Kommandozeile starten lässt. Im Grunde benötigt der Anwender hierfür ebenfalls Administratoren-Rechte. Sicherheitsbewussten Admins fällt hier allerdings im Zweifelsfall eine nicht dokumentierte Funktion auf die Füße.

Wenn man dem Register Server nämlich ein in JavaScript oder VBScript geschriebenes Skript zuschiebt, wird dieses ohne weitere Nachfragen verarbeitet. Die Sperre von Applocker greift dabei schlicht nicht. Hinzu kommt, dass eine solche Aktion in den üblichen Systemlogs quasi keine Spuren hinterlässt. Ein Angreifer kann so also auch noch recht einfach verschleiern, welche unerlaubten Aktionen er auf einem Zielsystem durchführt. Administrator, Kommandozeile, ELE Administrator, Kommandozeile, ELE
Diese Nachricht empfehlen
Kommentieren6
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 07:40 Uhr AUKEY Wlan USB Stick 2 in 1 mit Bluetooth 4.0 Empfänge 150Mbps für Windows 7 / 8 / 8.1 / 10, Ihre PC, Laptop und andere Geräte, die ohne Wireless oder Bluetooth 4.0 Funktion
AUKEY Wlan USB Stick 2 in 1 mit Bluetooth 4.0 Empfänge 150Mbps für Windows 7 / 8 / 8.1 / 10, Ihre PC, Laptop und andere Geräte, die ohne Wireless oder Bluetooth 4.0 Funktion
Original Amazon-Preis
15,99
Im Preisvergleich ab
?
Blitzangebot-Preis
11,99
Ersparnis zu Amazon 25% oder 4
Nur bei Amazon erhältlich

Video-Empfehlungen

Tipp einsenden