Der Sicherheitsexperte @subTee hat herausgefunden, wie man AppLocker mit einem einfachen Trick umgehen kann. Dadurch wird der Schutz vor “bösen” Applikationen in einigen Situationen wirkungslos.
Die Ursache liegt in dem Konstruktionsprinzip von AppLocker, das bestimmte Systemkomponenten niemals einschränkt. Dazu zählt auch regsvr32.exe – dieses Programm nutzt man normalerweise, um DLLs und andere Komponenten im System zu registrieren. Das Programm hat die wenig bekannte Eigenschaft, dass es nahezu beliebige Pfade zu den Komponenten akzeptiert – und dass es diese bei bestimmten Aufrufen einmal komplett ausführt. Das Ganze funktioniert auch mit Skripten aus dem Internet – und als normaler Benutzer ohne Adminrechte …
[subTee: Bypass Application Whitelisting Script Protections – Regsvr32.exe & COM Scriptlets (.sct files)]
http://subt0x10.blogspot.de/2016/04/bypass-application-whitelisting-script.html
http://faq-o-matic.net/?p=7378