Applocker oder Software Restriction Policies - Löcher im Sicherheitszaun

Autor: - vom 24.09.2017 - Kategorie(n): Anleitungen

Applocker oder Software Restriction Policies

Es sollte sich herumgesprochen haben, daß man mit "Anwendungs Ausführungsverhinderungsrichtlinien" sein System sicherer gestalten kann. Wenn es um das Thema Sicherheit geht, dann kann das nur anhand einer definierten Whitelist erfolgen. Nur die Whitelist in der alle bekannten Anwendungen sind bietet euch Sicherheit. Ihr könnt nur Blacklisten, was ihr kennt, aber das böse Internet kennt viel mehr als ihr.

Egal ob SRP (Software Restriction Polcies) oder Applocker, beide verfügen über ein Standard Regelwerk, das es erlaubt das System relativ schnell und ohne große Schmerzen zu integrieren.
Sie erlauben pauschal %programfiles%, %programfiles (x86)% und %systemroot%.

Bei der Diskussion, ob ich eine Whitelist habe oder nicht, kommt immer das Thema "Zeit" und "Arbeit" mit "Fleiss" und "Regelmässig jeden Monat" auf den Tisch. Ja, eine Whitelist verursacht Arbeit und die kann euch keiner abnehmen.
Aus Angst, die Arbeit nicht zu schaffen greifen viele auf diese Standardregeln zurück, im dem Glauben, daß die genannten Pfade als sicher gelten, da ein Benutzer dort nicht schreiben darf.
Die Logik sagt: Ihr erlaubt die Pfade, denn alle Programme die da sind, sind von einem Administrator oder Deployment System dorthin gekommen. Alle anderen Programme/Pfade sind verboten und somit hat die Portable App im Download Ordner keine Chance ... Soweit der Plan.

... und jetzt mache ich euch Angst: Im Windows Ordner sind diverse Ordner mit Berechtigungen für "ERSTELLER-BESITZER" Vollzugriff "Unterordner und Dateien" definiert und somit kann jeder User dort Dateien ablegen und sie können ausgeführt werden, weil ihr %systemroot% pauschal erlaub habt. Die Herausforderung ist jetzt nur diese Ordner zu finden.

Machen wir das mal als Benutzer:

  1. cmd öffnen
    dir * /D /S /B > Ordnerliste.txt

    Damit erhalten wir eine vollständige Liste aller Ordner im System, Ausführung im passenden Pfad vorausgesetzt und daß die Textdatei auch geschrieben werden darf im angegebenen Pfad (Extra kleine Challenge für "Nicht-Admins" eingebaut) 

  2. Textdatei öffnen und die Zeilen manipulieren, Zeilenanfang und Zeilenende muss manipuliert werden. Das geht prima in Excel, wenn man die Ordnerliste in die Spalte "B" kopiert und dann Spalte "A" und "C" editiert ... Nennen wir das "Excel to Batch" :-)

    Zeilenanfang: echo "egal" > "
    Zeilenende: \dumdidum.txt"

  3. Das ganze Zeile für Zeile ausführen und ein
    dir dumdidum.exe /s
    in der cmd ausführen, um alle Dateien zu finden, die erzeugt werden konnten.

    Done. We hacked 127.0.0.1 :-)


Wenn ihr also pauschal Pfade erlaubt, müsst ihr dafür sorgen, daß die Schreibbaren Ordner einen Exclude in der Liste bekommen und die darin gewünschten Anwendungen explizit erlaubt werden.
Ja, es bleibt dabei: Es benötigt Arbeit/Pflege und ständiges Anpassen.