Salto de las políticas de seguridad de AppLocker en Windows Server 2008 y Windows 7


Se ha encontrado un fallo de seguridad en AppLocker permite eludir sus políticas de seguridad.





AppLocker es una característica de Windows Server 2008 y 7, que permite a los administradores establecer reglas con el objetivo de evitar la ejecución en el sistema de aplicaciones no deseadas y/o desconocidas.

Se ha encontrado un fallo de seguridad en AppLocker que puede permitir a un atacante local eludir las políticas de seguridad y ejecutar aplicaciones no permitidas, a través de macros (de Microsoft Office, por ejemplo) o scripts especialmente manipulados.

Un malware podría hacer uso de esta vulnerabilidad, utilizando los flags 'SANDBOX_INERT' y 'LOAD_IGNORE_CODE_AUTHZ_LEVEL', para ejecutarse desde el directorio de usuarios (%system drive%:\Users ) o la carpeta temporal ( %TEMP% ) aunque éstos se encuentren protegidos por reglas de AppLocker.

Microsoft ha publicado el parche temporal Fix370118 que soluciona esta vulnerabilidad y que puede descargarse desde el siguiente enlace:

http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2532445&kbln=en-us

El parche temporal sólo se recomienda para aquellos sistemas que protejan con AppLocker la ejecución de ficheros y que, por tanto, se vean realmente afectados por la vulnerabilidad. En cualquier otro caso, Microsoft recomienda esperar la solución final que se publicará en una próxima actualización de seguridad.

Esta vulnerabilidad tiene asignado el identificador CVE-2011-4434. AppLocker es el "sucesor" de Software Restriction Policies (SRP). Esta última tecnología siempre ha sido "eludible" (desde que aparición en 2001 con XP) a través de ciertos programas que engañaban a la aplicación a la hora de leer el registro, programados por Mark Russinovich. Por otro lado, Didier Stevens ya describió varias formas de eludir AppLocker en su blog hace unos meses.

Más información:

You can circumvent AppLocker rules by using an Office macro on a computer that is running Windows 7 or Windows Server 2008 R2
http://support.microsoft.com/kb/2532445

Fuente:
Juan José Ruiz

Sergio de los Santos
Twitter: @ssantosv

http://unaaldia.hispasec.com/



Otras noticias de interés:

Microsoft critica revelación apresurada de vulnerabilidad en Office
Programador anónimo ha detectado un error crítico en el paquete ofimático Microsoft Office. Por su parte, el gigante informático critica que la información haya sido dada a conocer a la opinión p&uacu...
Malware llega al móvil a través de Twitter
Symantec alerta del aumento del malware móvil difundido a través de la red de microblogging mediante URLs acortadas....
Microsoft bloquea su propia actualización de Windows Serve
La nueva actualización de servidores de Microsoft causa tantos problemas, que la propia compañía ha creado una herramienta que la bloquea. ...
Multiples vulnerabilidade en Moodle
Un problema de seguridad y múltiples vulnerabilidades han sido reportadas en Moodle, que pueden ser explotada por usuarios maliciosos para revelar información sensible y eludir ciertas restricciones de seguridad....
Salto de restricciones en Samba 4 actuando como DC
Samba ha corregido un problema de salto de restricciones que podría permitir a un atacante obtener recursos que no le corresponden y eludir controles de seguridad. El fallo se da solo bajo circunstancias muy concretas....
Las organizaciones deben tener una arquitectura de seguridad de la información
Las organizaciones requieren hoy día garantizar la integridad, confidencialidad, disponibilidad y privacidad de la información que manejan y procesan así como una operación con un nivel de riesgo aceptable derivada del uso de las tecnologías de ...
Acortadores de enlaces en redes sociales son peligroso
Symantec ha dado a conocer las conclusiones de su Informe sobre Amenazas a la Seguridad en Internet (ISTR 16). Las redes sociales se confirman como un nuevo filón para los ciberdelincuentes, gracias a los acortadores de URL. Cuanto más populares so...
Firefox será aún más rápido
Entre las últimas novedades en Firefox 3, podemos destacar dos y las dos tienen que ver con su rendimiento....
Cursos Intensivos de PHP en Valencia, Venezuela
Desde el 31 de Enero y en los siguientes fines de semana, se estarán realizando en la ciudad de Valencia, Venezuela, una serie de cursos intensivos de PHP. Organizado y Patrocinado por AWVEN, C.A., Instituto “Charles Worth” y PHP...
Hackers roban datos bancarios de los clientes de Ford
Información de tarjetas de crédito, números de identificación personal y datos bancarios pertenecientes a 13.000 clientes de Ford han sido descargados por hackers, de acuerdo a lo expresado por la compañía. La empresa Ford Motor’s ha adve...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • applocker
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • politicas
  • sabayon
  • salto
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra