Alle Windows-PCs sind mit einer integrierten Sicherheitsfunktion mit dem Namen Windows Defender -Anwendungssteuerung (WDAC), das hilft, nicht autorisierte Software zu verhindern, indem nur vertrauenswürdige Anwendungen ermöglicht werden.
Trotz seines Zwecks haben Hacker verschiedene Möglichkeiten entdeckt, WDAC umzugehen und Systeme für Malware, Ransomware und andere Cyber -Bedrohungen auszusetzen.
Infolgedessen kann das, was einst als starke Verteidigungsschicht angesehen wurde, jetzt als potenzielle Sicherheitsanfälligkeit dienen, wenn sie nicht ordnungsgemäß verwaltet wurde.
Bild eines Windows -Laptops. (Kurt „Cyberguy“ Knutsson)
Was ist die Windows Defender Application Control (WDAC) -Bypass?
Windows Defender Application Control (WDAC) ist a Sicherheitsfunktion in Windows Dies erzwingt strenge Regeln, welche Anwendungen ausgeführt werden können. Es hilft, nicht autorisierte Software zu blockieren, aber Forscher haben Wege gefunden, um diesen Schutz zu umgehen.
Bobby Cooke, ein Redteambetreiber bei IBM X-Force Red, bestätigt Diese Microsoft -Teams könnten als WDAC -Bypass verwendet werden. Er erklärte, dass sie während des Red -Team -Betriebs in der Lage waren, WDAC zu umgehen und ihren Befehl Stufe 2 auszuführen und die Nutzlast zu kontrollieren.
Holen Sie sich Fox Business unterwegs, indem Sie hier klicken
Um diese Sicherheitslücken zu finden und zu beheben, führt Microsoft ein Bug Bounty -Programm durch, das Forscher für die Meldung von Schwachstellen in WDAC und anderen Sicherheitskomponenten belohnt. Einige Bypass -Techniken bleiben jedoch für lange Zeiträume unpatch.
Teams Electron API -Oberfläche enthüllt. (IBM)
DoubleClickjacking Hack dreht Doppelklicks auf die Übernahmen aus
Wie Hacker Windows Defender Application Control umgehen
Einer der wichtigsten Arten, die Angreifer in WDAC umgehen, besteht darin, Binärdateien oder Lolbins zu verwenden. Dies sind legitime Systemwerkzeuge, die mit Windows vorinstalliert sind, aber aber Hacker können sie umgeben Um nicht autorisierte Code auszuführen und gleichzeitig die Sicherheitserkennung zu vermeiden. Da diese Tools vom System vertrauen, bieten sie eine einfache Möglichkeit, die Abwehrkräfte vorbei zu schlüpfen.
Einige Bypass -Techniken umfassen DLL Sideloading, bei denen Angreifer legitime Anwendungen dazu bringen, böswillige DLLs anstelle der beabsichtigten zu laden. Wenn die WDAC -Richtlinien nicht ordnungsgemäß durchgesetzt werden, können Angreifer …
