AppLocker megkerülése
A Varonis Threat Labs felfedezte, hogy a Microsoft által javasolt AppLocker tiltólista (block‑list) konfigurációban egy aprónak tűnő verziószámbeli hiba lehetővé teszi a kikerülést. A MaximumFileVersion mező 65 355‑re van állítva a várt 65 535 helyett – ez elég ahhoz, hogy bizonyos fájlok túl magas verziószám miatt mégis fusson.
Ez a hiba nem minősül kritikusan súlyosnak – ha az adminisztrátorok kizárólag aláírt binárisokra engednek futási jogot, az továbbra is blokkolja a rosszindulatú kódokat. Ugyanakkor világosan rámutat: az automatikusan alkalmazott Microsoft-javaslatok nem helyettesítik az átgondolt, szervezet-specifikus szabályozást, mert ezek a finom konfigurációs hibák váratlan rést okozhatnak.
Az AppLocker, amely Windows Vállalati környezetekben használatos a futtatható állományok engedélyezési szabályozására, mögött általában Group Policy (GPO) áll. Ebben a környezetben a Varonis arról győződött meg, hogy a hibás konfiguráció fontos figyelmeztetést hordoz – habár elsőre rutinszerűnek tűnhet, a verzióhoz kötött kivételek megdönthetik a biztonsági koncepció egészét.
A Varonis javaslata ezért nem csak a patch vagy a javítás, hanem az egész AppLocker‑strategia újratanulmányozása és manuális átvizsgálása. Ellenőrízni kell, hogy minden verziószabály megfelel‑e az aktuális cégspecifikus elvárásoknak; különösen a block‑list konfigurációkban szigorúan a 65 535‑ös maximum legyen megadva. Ezzel megakadályozható, hogy egy rosszindulatú fájl a túl magas verziója alapján „megússza” az ellenőrzést.
A megbízhatónak tekinthető rendszerszabályozás esetén sem elegendő a gyári beállítás. A valóságban ezek az automatizált ajánlások nem veszik figyelembe a szervezet egyedi viszonyait, így rejtett biztonsági hiányosságokat hagyhatnak. Következésképp a Varonis hangsúlyozza, a vállalati biztonsági csapatnak magának kell rendszeresen ellenőriznie az AppLocker szabályait, nem csak egyszer beállítania és elfelejteni.
