AppLocker Rules Abuse: как заблокировать EDR через встроенный Windows механизм
#AppLocker #EDR #Bypass #RCE

Исследователи Purple Team описали технику блокировки процессов антивирусов и EDR-агентов (Defender, CrowdStrike Falcon, SentinelOne, Cortex XDR и др.) через легитимный AppLocker. Позволяет выполнить RCE код без помех от защиты.

♾️Описание техники♾️

В Windows по умолчанию служба Application Identity (AppIDSvc), отвечающая за применение политик AppLocker, находится в состоянии Manual и не запущена.

Для успешной атаки нужно

▪️включить службу;
▪️динамически определить пути к исполняемым файлам EDR-агентов через NtQuerySystemInformation или Toolhelp32 API;
▪️сгенерировать XML-политику AppLocker с deny-правилами (FilePathRule Action="Deny") для этих путей;
▪️применить политику командой Set-AppLockerPolicy -XmlPolicy;
▪️форсировать обновление групповых политик (gpupdate /force);
▪️перезагрузить систему или процессы.

В результате EDR-агенты блокируются на старте и не могут загрузиться, создавая окно для выполнения вредоносного кода в памяти без вмешательства защиты. После атаки можно отключить политику и вернуть все как было.

♾️Детекция♾️

▪️Event ID: 8001 (AppIDSvc start), 8004 (blocked executable), 7040 (service start type change), 4657/4663 (registry mods на AppIDSvc и SRP).
▪️Мониторинг реестра: HKLM\SYSTEM\CurrentControlSet\Services\AppIDSvc\Start, HKLM\SOFTWARE\Policies\Microsoft\Windows\SrpV2.
▪️Файлы: C:\Windows\System32\AppLocker\*.xml.
▪️Sigma-правило в посте: на Event ID 8004 с процессами EDR.

Также рекомендуется включить AppLocker logging, аудит реестра через GPO, SIEM-корреляцию и мониторинг AppIDSvc.

🔗GhostLocker — готовый PoC для этой техники на GitHub. Содержит: PowerShell-сниппеты для динамической генерации XML (foreach по списку ExeToBlock, пример XML с deny для MsMpEng.exe, команду in-memory выполнения.

🔗Источник

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK

Ловите вкусные баги прошедшей недели
#Microsoft #Gods #OpenSTAManager #Signal #CVE #RCE

➡️ SDK Microsoft Semantic Kernel (CVE-2026-25592, CVSS 10.0) — в компоненте SessionsPythonPlugin присутствует критическая arbitrary file write через path traversal. Аутентифицированный атакующий с минимальными правами может удаленно без участия пользователя записывать любые файлы на сервер.

➡️ Gogs (CVE-2025-64175, CVSS 7.7) — self-hosted Git-сервере Gogs (все версии с 2FA) сломана проверка recovery-кода в UseRecoveryCode. Код ищется глобально по всем пользователям без привязки к аккаунту. Зная логин и пароль жертвы, атакующий использует свой собственный recovery-код, чтобы обойти 2FA и захватить чужую учетку. PoC тривиален: создаешь свой аккаунт → берешь код → логинишься под жертвой.

➡️ OpenSTAManager (CVE-2026-24417, CVSS 8.7) — time-based blind SQL-инъекция в глобальном поиске /ajax_search.php, параметр term GET. Ввод в LIKE-запросах не экранируется по 10+ модулям (Артикулы, Заказы, Фактуры, Контрагенты и др.). Аутентифицированный атакующий может вытягивать данные через SLEEP() с амплификацией задержки (параллельный запуск по модулям — задержка ×85), чтобы добиться DoS и утечки хэшей паролей и клиентских данных. Есть PoC.

➡️ Signal (CVE-2026-23515, CVSS 9.9) — OS command injection через поле navigation.datetime в WebSocket delta-сообщениях. Ввод интерполируется в sh -c "command" без санитизации, что приводит к тому, что произвольные shell-команды выполняются от имени сервера. Если серверная аутентификация отключена — эксплуатация бага возможна без авторизации. Приводит к полной компрометации системы, включая эскалацию до root при плохой sudo-конфигурации. Есть PoC.

➡️ Microsoft Office (CVE-2026-21509, CVSS 7.8) — обход OLE-защит через reliance on untrusted inputs. Злоумышленник создает weaponized RTF/Word-документ и через WebDAV + COM hijacking доставляет malware. Открытие файла приводит к RCE. Активно эксплуатируется APT28 в targeted-атаках. Есть educational PoC и скрипт для поиска сэмплов на устройстве.

🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK