Investigadores de seguridad descubren método para burlar la protección de Windows mediante la configuración de AppLocker
El problema está en la lógica misma con la que funcionan las políticas administrativas.
En el mecanismo de control de inicio de aplicaciones de Windows se detectó una forma de eludir las medidas de protección mediante el abuso de las reglas de AppLocker. El método permite bloquear procesos de los sistemas de detección y respuesta, tras lo cual en el equipo se pueden ejecutar programas de terceros sin su participación. Especialistas analizaron la técnica y la herramienta demostrativa con este comportamiento en un informe técnico.
AppLocker apareció en Windows 7 como una herramienta para restringir el inicio de archivos ejecutables, scripts e instaladores mediante reglas. Reduce la superficie de ataque mediante políticas permissivas, pero por defecto no está activado y requiere una configuración precisa para el entorno. La verificación la realiza el servicio Application Identity. Si este servicio está desactivado, las reglas no se aplican. Las políticas se almacenan en el registro y en archivos del sistema separados, lo que abre la posibilidad de modificarlas con privilegios administrativos.
Los autores del estudio presentaron una herramienta de prueba de concepto llamada GhostLocker. Genera automáticamente reglas que deniegan la ejecución de archivos pertenecientes a plataformas de seguridad y las añade a la política de AppLocker. Antes de ello se activa el servicio Application Identity, luego se recopila la lista de procesos en ejecución y se seleccionan los agentes de protección objetivo, incluidos componentes de Microsoft Defender y soluciones EDR de terceros. Tras aplicar las nuevas reglas y actualizar la política de grupo, dichos procesos dejan de iniciarse después del reinicio del sistema.
Como resultado, el agente de protección sigue operando a nivel de controlador y recopilando datos sin procesar, pero la parte en espacio de usuario deja de procesar la telemetría. Esto priva de facto al sistema de un control completo y crea una ventana para el lanzamiento encubierto de programas maliciosos. El código de la herramienta demostrativa realiza varias operaciones en memoria y utiliza codificación Base64 para transmitir comandos de PowerShell.
Para detectar esta actividad se propone vigilar los eventos de AppLocker y los cambios en las claves de registro relacionadas. En los registros de Windows son importantes los eventos con los identificadores 8001 y 8004, que reflejan la aplicación de políticas y el bloqueo del inicio de archivos. Además, se recomienda auditar los cambios en las claves AppIDSvc y en la rama SrpV2, donde se almacenan las reglas. También es un indicador útil el evento 7040, que registra la modificación de parámetros de servicios.
Se aconseja prestar atención a las llamadas a las API del sistema utilizadas para enumerar procesos. Modelar el ataque en ejercicios de prueba ayuda a identificar lagunas en la telemetría y a ajustar las reglas de correlación. Al momento de la publicación no existen campañas confirmadas en las que esta técnica se haya aplicado en ataques reales; sin embargo, preparar mecanismos de detección se considera una estrategia más fiable que reaccionar a posteriori.