Киберпреступник или инсайдер может разработать и зарегистрировать специальные элементы панели управления Windows для того, чтобы обойти защитные механизмы посредством инструмента Windows AppLocker.
Компонент AppLocker в Windows 7 и Server 2008 R2 дает возможность указывать пользователей в организации, имеющих право на запуск тех или иных приложений в зависимости от уникальных идентификаторов файлов. Используя AppLocker, можно задать правила для разрешения или запрета запуска приложений.
Методика, которую представил исследователь информационной безопасности Франческо Мифсуд, основана на применении файлов CPL (Windows Control Panel Item – элемент панели управления Windows), которые представляют собой измененные DLL-файлы, осуществляющие загрузку элементов панели управления операционной системы.
Данные элементы не фиксированы, потому инсталляторы программного обеспечения могут генерировать собственные компоненты. Так, после инсталляции видеодрайвера на панели управления отображается иконка, с помощью которой можно осуществлять управление его настройками. Иконка – это файл CPL, и в ходе каждой его загрузки компьютер активирует элемент «control.exe name.cpl».
Перечень всех элементов CPL Windows находится в данном ключе реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\CPLs. Как утверждает Мифсуд, хакер может поменять значение этого ключа реестра и сделать собственный элемент панели управления для того, чтобы запустить командную строку и выполнить вредоносные команды.
Windows AppLocker осуществляет блокировку прямого доступа к командной строке, но этот механизм можно преодолеть, используя кастомизированный элемент панели управления. Таким же образом могут быть запущены любые инструменты Windows.
