Een Windows functie waarmee het mogelijk is om de aanwezige beveiliging te omzeilen blijkt gevaarlijker dan gedacht. De Belgische beveiligingsonderzoeker Didier Stevens ontdekte dat het mogelijk is om kwaadaardige DLL-bestanden ondanks Software Restriction Policies en AppLocker toch uit te voeren. Via deze twee beveiligingsmaatregelen is het mogelijk om DLL-bestanden te whitelisten en in te stellen welke applicaties op het bedrijfsnetwerk mogen draaien. De LoadLibraryEx functie in Windows maakt het echter mogelijk om niet toegestane DLL-bestanden ondanks SRP en AppLocker toch uit te voeren.
Scriptkiddies
In eerste instantie dacht Stevens dat het niet mogelijk was om een nieuw proces aan te maken dat AppLocker of SRP niet zouden toestaan. Na publicatie van zijn ontdekking kreeg hij een reactie dat dit via de SANDBOX_INERT flag in de CreateRestrictedToken functie toch mogelijk is. De onderzoeker gebruikte de functie om een programma dat niet gewhitelist was, toch op het systeem uit te voeren.
Tegenover Security.nl laat Stevens weten dat deze ontdekking het risico van het probleem niet vergroot. "Het maakt het wel gemakkelijker voor scriptkiddies die niet weten wat ze met DLLs moeten aanvangen. Dit kan gemakkelijk gebruikt worden in de shellcode van een aanval: in plaats van de klassieke download & run, is het nu download & run met die speciale vlag." Microsoft zou inmiddels zijn ingelicht, maar heeft de Belg nog geen reactie gegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.