Salto de las políticas de seguridad de AppLocker en Windows Server 2008 y Windows 7


Se ha encontrado un fallo de seguridad en AppLocker permite eludir sus políticas de seguridad.





AppLocker es una característica de Windows Server 2008 y 7, que permite a los administradores establecer reglas con el objetivo de evitar la ejecución en el sistema de aplicaciones no deseadas y/o desconocidas.

Se ha encontrado un fallo de seguridad en AppLocker que puede permitir a un atacante local eludir las políticas de seguridad y ejecutar aplicaciones no permitidas, a través de macros (de Microsoft Office, por ejemplo) o scripts especialmente manipulados.

Un malware podría hacer uso de esta vulnerabilidad, utilizando los flags 'SANDBOX_INERT' y 'LOAD_IGNORE_CODE_AUTHZ_LEVEL', para ejecutarse desde el directorio de usuarios (%system drive%:\Users ) o la carpeta temporal ( %TEMP% ) aunque éstos se encuentren protegidos por reglas de AppLocker.

Microsoft ha publicado el parche temporal Fix370118 que soluciona esta vulnerabilidad y que puede descargarse desde el siguiente enlace:

http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2532445&kbln=en-us

El parche temporal sólo se recomienda para aquellos sistemas que protejan con AppLocker la ejecución de ficheros y que, por tanto, se vean realmente afectados por la vulnerabilidad. En cualquier otro caso, Microsoft recomienda esperar la solución final que se publicará en una próxima actualización de seguridad.

Esta vulnerabilidad tiene asignado el identificador CVE-2011-4434. AppLocker es el "sucesor" de Software Restriction Policies (SRP). Esta última tecnología siempre ha sido "eludible" (desde que aparición en 2001 con XP) a través de ciertos programas que engañaban a la aplicación a la hora de leer el registro, programados por Mark Russinovich. Por otro lado, Didier Stevens ya describió varias formas de eludir AppLocker en su blog hace unos meses.

Más información:

You can circumvent AppLocker rules by using an Office macro on a computer that is running Windows 7 or Windows Server 2008 R2
http://support.microsoft.com/kb/2532445

Fuente:
Juan José Ruiz

Sergio de los Santos
Twitter: @ssantosv

http://unaaldia.hispasec.com/



Otras noticias de interés:

Incidentes de Ciberguerra y Ciberespionaje entre países
La ciberguerra o el ciberespionaje entre países no existe, o eso insisten en defender la mayoría de los gobiernos, lo que sin duda significa una clara declaración de lo contrario. Desaprovechar un escenario de batalla tan cómodo para los ejércit...
El software apócrifo
Esto del software cada día se va pareciendo más a los evangelios según el santo de turno. Como la iglesia, dicen que Dios sólo hay uno -aunque sea trino- y que aquella es la única representante oficial y válida de la divinidad y que, cualquier ...
Nueva versión de Apache TOMCAT
Las versiones de Apache TOMCAT previas a la 4.0.5 o 4.1.12 son susceptibles a una vulnerabilidad mediante la cual un atacante puede obtener el código fuente de una página JSP....
Twitter no usará sus patentes como arma ofensiva
Twitter se ha comprometido a utilizar sus patentes sólo con fines defensivos y no como arma ofensiva para bloquear la innovación de los competidores....
¿Quién inventó el CD-ROM?
La invención del soporte más extendido del mundo para almacenar datos y audio es casi un misterio en el que nadie se pone de acuerdo. Según un reciente artículo de SiliconUser, la idea partió de James Russell en el año 1965, aunque no llegaría...
Aparece la nueva variante E del gusano Blaster
El laboratorio de virus de Panda Software ha detectado la aparición de la nueva variante E del gusano Blaster. Al igual que el resto de sus variantes, este código malicioso aprovecha la vulnerabilidad RPC DCOM descubierta recientemente en...
Chrome OS, opción hacia la nube
El cofundador de Google, Sergey Brin, ha declarado que Windows y otros sistemas operativos tradicionales están torturando a los usuarios. Unas declaraciones que ha realizado durante el lanzamiento de Chrome OS, un evento en el que afirmó que el 75 ...
Office 2003 SP3 será descargado automáticamente
Microsoft Office Service Pack 3 fue liberado en setiembre de 2007, y será puesto para descarga automática a través de Microsoft Update a partir de febrero. ...
Acceso remoto por Ms-Dos
Entrar en la computadora de una persona puede ser algo sencillo o algo un poco mas dificultoso, depende del caso. ...
MS07-017 Vulnerabilidad en motor de gráficos (925902)
El software en esta lista se ha probado para determinar si es afectado. Otras versiones anteriores no mencionadas, podrían o no ser vulnerables, pero ya no incluyen soporte de actualizaciones de parte de Microsoft. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • applocker
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • politicas
  • sabayon
  • salto
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra