Vigil@nce : Windows, contournement de AppLocker
novembre 2011 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut employer deux méthodes Windows, afin de
contourner les règles AppLocker.
– Gravité : 2/4
– Date création : 15/11/2011
PRODUITS CONCERNÉS
– Microsoft Windows 2008
– Microsoft Windows 7
DESCRIPTION DE LA VULNÉRABILITÉ
La fonctionnalité AppLocker permet de définir des règles d’accès
aux programmes du système. Deux méthodes documentées par Microsoft
permettent de contourner AppLocker.
La fonction LoadLibraryEx() permet de charger une bibliothèque.
Elle peut être appelée avec le drapeau LOAD_IGNORE_CODE_AUTHZ_LEVEL,
afin de ne pas appliquer les règles. [grav:1/4]
La fonction CreateRestrictedToken() permet d’obtenir un jeton
d’accès avec ses privilèges. Le drapeau SANDBOX_INERT de
CreateRestrictedToken() désactive les règles pour les processus
qui seront créés à partir de ce jeton. [grav:2/4]
Un attaquant local peut donc employer deux fonctionnalités de
Windows, afin de contourner les règles AppLocker.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Windows-contournement-de-AppLocker-11159