Se ha descubierto una falla de configuración crítica en la política de la lista de bloques de Applocker de Microsoft, revelando cómo los atacantes podrían evitar las restricciones de seguridad a través de un error de versiones sutil.
El problema se centra en un valor incorrecto de inversión máxima que crea una brecha explotable en el marco de control de aplicaciones de Microsoft, destacando la importancia de la implementación precisa de la política de seguridad en entornos empresariales.
Control de llave
1.
2. Los binarios manipulados pierden firmas válidas, por lo que las políticas firmadas todavía detienen los ataques.
3. Arregle actualizando el valor de la lista de bloque y auditando todas las configuraciones de seguridad copiadas.
Vulnerabilidad de configuración de APLOCKER
Amenaza de héroe buena informes que la vulnerabilidad proviene de una discrepancia aparentemente menor pero significativa en la configuración sugerida de Microsoft.
Los investigadores encontraron que el campo máximo de Versión se estableció incorrectamente en 65355.65355.65355.65355 en lugar del 65535.65535.65535.65535 esperado.
Este error crea una brecha de rango de versión que los actores maliciosos podrían explotar para evitar las restricciones de la aplicación.
La configuración problemática aparece en la lista de bloques de Microsoft como:
Dado que 65535 representa el valor máximo para un entero de 16 bits sin firmar, cualquier ejecutable con un número de versión entre 65355.65355.65355.65355 y 65535.65535.65535.65535 podría atravesar la aplicación de la política.
Un atacante podría modificar los metadatos de versión de un ejecutable bloqueado para exceder el máximo configurado, lo que le permite ejecutar a pesar de estar en la lista de bloques.
Si bien este descubrimiento aparece inicialmente preocupante, el impacto práctico de seguridad es significativamente mitigado por el enfoque de seguridad en capas de Microsoft.
La política de la lista de bloques de Applocker está diseñada para funcionar junto con los requisitos de firma de código que solo permiten que los ejecutables firmados se ejecuten en el sistema.
Cuando un atacante modifica la información de la versión de un ejecutable, este proceso inevitablemente rompe la firma digital del archivo, lo que hace que el archivo modificado esté bloqueado por la regla más amplia “solo ejecutables firmados”.
Este diseño de seguridad de varias capas demuestra que incluso cuando un mecanismo de control tiene un defecto, las medidas de seguridad complementarias pueden evitar la explotación.
Sin embargo, las organizaciones que dependen únicamente de la lista de bloques sin implementar políticas de firma de código podrían ser vulnerables a esta técnica de derivación.
Microsoft aborda la fuente de documentación
La investigación sobre el origen del error lo remontó a la propia documentación de Microsoft. El valor 65355 incorrecto apareció en la documentación de la página de publicación de Microsoft, que desde entonces se ha corregido después de la divulgación responsable de Varonis.
Este incidente subraya cómo los errores de documentación pueden propagarse en las políticas de seguridad de producción cuando los administradores copian configuraciones sin validación exhaustiva.
El descubrimiento sirve como un recordatorio de que los profesionales de la seguridad deben revisar cuidadosamente todas las configuraciones de políticas, evitar el pasaje ciego de las reglas de seguridad e implementar estrategias de defensa en profundidad.
Las organizaciones que usan Applocker deben considerar actualizar su configuración de inversión máxima a los valores adecuados y garantizar que existan políticas integrales de control de aplicaciones para evitar los pasos potenciales.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}