Исследователи кибербезопасности из Varonis Threat Labs обнаружили уязвимость в механизме защиты Microsoft AppLocker, которая может позволить злоумышленникам обходить ограничения на запуск приложений. Хотя уязвимость не классифицируется как критическая, она демонстрирует важные пробелы в корпоративных настройках безопасности, требующие внимания со стороны организаций.
AppLocker - это корпоративное решение Microsoft для контроля приложений, выполняющее функцию цифрового шлагбаума, определяющего, какие программы и файлы могут быть запущены на системах под управлением Windows. Организации полагаются на эту функцию для предотвращения заражения вредоносным ПО, соблюдения регуляторных требований и ограничения установки нежелательного софта в сети.
Система работает через заранее заданные правила, разрешающие или блокирующие исполняемые файлы, скрипты и динамически подключаемые библиотеки (DLL). Microsoft ведет открытую базу данных приложений, способных обходить ограничения AppLocker, регулярно пополняя её новыми уязвимостями. Это помогает администраторам безопасности понимать потенциальные векторы атак и настраивать соответствующие меры защиты.
Проблема в номере версии
Исследователи Varonis выяснили, что уязвимость связана с ошибкой в рекомендованной Microsoft конфигурации AppLocker. Поле MaximumFileVersion было настроено на значение 65355 вместо максимально допустимого 65535. На первый взгляд, разница кажется незначителной, но именно она создает уязвимость, позволяющую злоумышленникам обходить защитные механизмы.
Разница между этими значениями критична, поскольку 65535 - это максимальное возможное число для 16-битного целого без знака, а 65355 не дотягивает до этого предела. В результате файлы с версиями от 65355.65355.65355.65355 до 65535.65535.65535.65535 оказываются в «серой зоне» и могут избежать блокировки AppLocker.
Теоретически злоумышленники могли бы изменить номер версии вредоносного исполняемого файла, увеличив его за пределы установленного максимума, и тем самым обойти защитные ограничения. Однако на практике серьезность угрозы снижается тем, что изменение версии файла приводит к нарушению его цифровой подписи. В результате системы, настроенные на выполнение только подписанных приложений, всё равно заблокируют такой файл, что минимизирует риски.
Реакция Microsoft и рекомендации
После ответственного раскрытия информации Microsoft исправила документацию, указав корректное максимальное значение версии файла. Тем не менее, инцидент напоминает о том, что даже небольшие неточности в настройках безопасности могут создавать неожиданные уязвимости.
Организациям рекомендуется регулярно проверять и обновлять политики AppLocker, чтобы исключить возможность обхода защиты. Также важно убедиться, что используются дополнительные меры безопасности, такие как обязательная проверка цифровых подписей, что делает подобные уязвимости менее критичными.
Хотя текущая проблема не является критической, она подчеркивает необходимость внимательного подхода к настройке защитных механизмов. Даже незначительные ошибки могут стать лазейкой для злоумышленников, особенно в корпоративных средах, где безопасность играет ключевую роль.
