Mit Applocker bietet Microsoft seinen Unternehmenskunden einen Dienst, der Windows-Rechner zusätzlich vor Schadsoftware schützen soll. Lässt sich damit doch eine Liste an Programmen festlegen, die auf einem Rechner ausgeführt werden dürfen. Alle anderen Programme werden hingegen automatisch blockiert.

Ausgetrickst

Wie sich nun herausstellt, kann Applocker sein Sicherheitsversprechen allerdings nicht einhalten. Dem US-amerikanischen Softwareentwickler Casey Smith ist es gelungen, die entsprechenden Sperren über einen simplen Trick auszuhebeln, wie er in einem Blogeintrag ausführt.

Hintergrund

Er bedient sich dabei eines Fehlers in regsvr32: Mit dessen Hilfe kann auf ein im Netz gehostetes Skript oder eine andere Datei zugegriffen werden, die dann ein beliebiges Programm am lokalen Rechner ausführen kann. Die Applocker-Liste wird hierbei nicht herangezogen, insofern ist der entsprechende Schutz also komplett wirkungslos.

Potential

Angriffsszenarien sind hier leicht vorstellbar. So könnte etwa ein Erpressungstrojaner diesen Trick nutzen, um auch auf Business-Rechnern sein Unwesen zu treiben.

Abhilfe

Eine offizielle Reaktion von Seiten Microsoft gibt es bisher noch nicht, insofern ist auch unklar, wann die Lücke bereinigt wird. Allerdings können Systemadministratoren selbst aktiv werden: Wird Regsvr32.exe und Regsvr64.exe mittels der Windows Firewall der Netzwerkzugriff abgedreht, funktioniert auch der beschriebene Hack nicht mehr. (red, 25.4.2016)