吳明宜資安研究人員發現,一款聯想電腦的專屬軟體可能為仰賴 Windows AppLocker 的用戶帶來風險。
這款軟體為 mfgstat.zip,是來自聯想 (Lenovo) 預載的 Windows 映像檔,在安裝後位於 Windows 資料夾下。研究人員 Oddvar Moe 發現這檔案可由任何經驗證的使用者寫入資料。
但是研究人員指出,這會危及 Windows AppLocker 的防護。 AppLocker 可讓用戶決定是在 C:\Windows 目錄下的何款應用或程式能執行,何者不行。但是其預設規則限制用戶不能寫入這個受保護的區域。
因此如果該目錄下有可寫入的資料夾,就會破壞這個規則及其防護。攻擊者可將惡意執行檔加入 mfgstat.zip 檔的備用資料流 (alternate data stream),這是較少人知道的 NTFS 功能,藉此使隱藏資料嵌入到檔案中。然後攻擊者即可利用合法的 Windows 二進位檔,如 AppVLP.exe 執行該嵌入程式碼,就能繞過 AppLocker 的控管。
這個技巧不需管理員權限,只要是標準使用者就能執行,也提高了權限升級和惡意程式執行的機會。
研究人員通知聯想後,聯想證實獲知,但並沒有發佈修補程式,而是發佈指引,告知用戶和管理員如何手動移除 mfgstat.zip 檔。
方法如下:
一、在檔案總管下找到 C:\Windows,利用「檢視」顯示隱藏的檔案找到 mfgstat.zip,再按右鍵從選單中選擇「刪除」
二、 PowerShell 指令:Remove-Item -Path “C:\Windows\MFGSTAT.zip” -Force
三、 Command Prompt:del /A:H C:\Windows\MFGSTAT.zip
安全專家警告,這種作法顯示只使用 AppLocker 預設規則作為安全防護的風險,特別是 PC 廠商提供的映像檔可能在信任目錄下夾帶未知的可寫入檔案或資料夾。
研究人員建立企業定期稽核在信任路徑下,如 C:\Windows 下的檔案和資料夾許可。或是自訂 AppLocker 政策,以減少任何可存取目錄被執行程式。並且移除 OEM 系統映像檔內含的不必要檔案。
mfgstat.zip 漏洞也提醒用戶,像 AppLocker 等應用程式白名單方案必須小心設定,並且須定期檢視,以確保安全防護效力。
來源:Cyber Press