18.07.2025
1 хв
571
Неправильне значення в полі MaximumFileVersion у конфігурації AppLocker дозволяло зловмисникам запускати заборонені програми, обходячи політики безпеки — все через банальну помилку у версії, опубліковану в офіційній документації Microsoft.
Дослідники з Varonis Threat Labs виявили, що Microsoft у своїй документації рекомендувала конфігурацію AppLocker із некоректним обмеженням версії: 65355.65355.65355.65355 замість максимального значення 65535.65535.65535.65535. Через це будь-який виконуваний файл, версія якого перевищує 65355, не підпадав під обмеження, що дозволяло зміненим шкідливим програмам запускатися навіть попри блокування. Проте, зміна метаданих версії файла призводить до втрати цифрового підпису, тому політики, які дозволяють запуск лише підписаних програм, залишаються надійним бар’єром. Проблема стає критичною лише тоді, коли організація покладається виключно на блок-лист без обов’язкової перевірки підпису. Після повідомлення від Varonis Microsoft оновила документацію, виправивши значення версії.
AppLocker — це система контролю запуску додатків у Windows, яка дозволяє адміністраторам задавати правила, що забороняють запуск небажаних файлів. Її ефективність залежить від точності налаштувань. Уразливість виникла не через саму технологію, а через копіювання конфігурацій із некоректної документації, що ще раз підтверджує: навіть дрібна помилка в політиках безпеки може мати серйозні наслідки.
Цей інцидент доводить важливість ретельної перевірки усіх параметрів безпеки та впровадження багаторівневої моделі захисту. Організаціям слід терміново перевірити свої політики AppLocker, оновити значення MaximumFileVersion до 65535.65535.65535.65535, а також впевнитися, що активовано перевірку цифрового підпису. Безпечна інфраструктура починається з уважного ставлення до деталей.
