Découverte d’un contournement furtif de Windows AppLocker

Le mécanisme de protection du poste de travail Windows AppLocker, basé sur des listes blanches applicatives, peut être aisément contourné grâce à un outil en ligne de commande datant de Windows XP. C’est ce qu’a signalé un chercheur en sécurité. Associé à un script hébergé sur un hôte distant, cette vulnérabilité permettrait à un attaquant d’exécuter des logiciels absents de la liste blanche d’AppLocker.

L’utilitaire en question, Regsvr32, est conçu pour « déclarer et supprimer des contrôles OLE [Object Linking and Embedding] du registre de Windows, tels que des librairies à chargement dynamique et des contrôles ActiveX », explique Microsoft. Mais le chercheur Casey Smith relève que la commande peut pointer vers une URL et non pas uniquement vers un script local. Dès lors, un script distant, accessible à cette URL, pourrait être exécuté, contournant ainsi les restrictions imposées par les listes blanches d’AppLocker.

« Ce qui est là étonnant, est que Regsvr32 supporte les proxies [ou serveurs mandataires, NDLR], utilise TLS, suit les redirections, etc. », souligne Carey Smith, ajoutant que l’utilitaire est un binaire signé par Microsoft, ce qui simplifie les attaques mettant à profit la vulnérabilité.

Pour Robert Sadowski, directeur marketing de RSA, « cette technique est potentiellement dangereuse entre les mains d’un attaquant compétent ». Ce dernier n’aurait besoin que d’un accès « à la machine de la victime, sans avoir besoin des droits d’administration. Il pourrait exécuter des scripts qui seraient normalement bloqués par AppLocker ».

Les scripts de test de Smith font la démonstration du potentiel dévastateur d’une telle attaque. Et pour Sadowski, cette vulnérabilité pourrait déjà être exploitée dans le cadre d’opérations de hameçonnage, entre autres : « c’est dangereux parce que difficile à détecter ; cela s’appuie directement sur une commande de Windows, et la seule trace peut être un fichier dans le cache du navigateur Web, rien dans le registre de Windows ».

Günter Ollmann, RSSI de Vectra Networks, voit dans cette vulnérabilité « un exemple intéressant de ce que le code patrimonial et la rétro-compatibilité » peuvent générer comme risques : « il ne serait pas surprenant, pour un administrateur expérimenté, que des contournements tels que celui-ci attendent » d’être mis à profit. Et d’ajouter que « les voies obscures et oubliées des fonctionnalités MS-DOS et de manipulation du registre sont une préoccupation constante de quiconque cherche à sécuriser des postes de travail Windows ». Et cela à plus forte raison que « lorsque la documentation existe, elle est limitée et quasiment cryptique ».

Pour Daniel Ford, ingénieur en sécurité et analyste chez Rook Security, cette vulnérabilité s’avérer très dangereuse pour ceux « qui utilisent AppLocker afin de prévenir les intrusions ou les infections par des logiciels malveillants. Le risque est élevé si ce n’est pas corrigé tout de suite ». Dès lors, pour lui, il est préférable de ne pas trop compter sur AppLocker et de s’assurer de disposer de plusieurs couches de sécurité. Et « lorsqu’un correctif sortira, il sera prudent de le déployer immédiatement ».

Mais pour Chris Tulumba, dans l’attente, « le plus simple est de bloquer Regsvr32 au niveau du pare-feu, pour lui interdire l’accès à Internet ». Mais attention à bien bloquer les versions 32 et 64 bits. Et puis, aussi, « ce peut être une bonne idée de bloquer les fichiers .sct sur vos filtres de contenus entrants ».

Adapté de l’anglais.