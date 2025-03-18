O Windows Defender Application Control (WDAC) é uma solução de segurança que restringe a execução a softwares confiáveis. Como é classificado como um limite de segurança, a Microsoft oferece recompensas por bugs para desvios qualificáveis, tornando-o um campo de pesquisa ativo e competitivo.

Resultados típicos de uma submissão a um programa de recompensas por vulnerabilidades para contornar o WDAC:

O desvio foi corrigido; possível recompensa concedida

O bypass não é corrigido, mas sim “mitigado” ao ser adicionado à lista de bloqueio recomendado do WDAC. Provavelmente não haverá recompensa, mas geralmente é concedida uma menção honrosa.

O desvio não foi corrigido, nenhuma recompensa foi concedida, nenhuma menção honrosa

Ao analisar a lista de bloqueio recomendada do WDAC pela Microsoft, vemos que figuras renomadas como Jimmy Bayne (@bohops) e Casey Smith (@subTee) descobriram bypasses do WDAC que continuam sem correção, mas que receberam menções honorárias. Além dessa lista, o Projeto LOLBAS contém outros desvios não corrigidos que não foram reconhecidos na lista de bloqueios da Microsoft. Um exemplo é a aplicação Microsoft Teams, que continua sendo um desvio viável para o WDAC,apesar de estar documentado no LOLBAS.

Ao nos depararmos com o WDAC durante as operações da red team, nós o contornamos com sucesso e executamos a carga útil de comando e controle (C2) do estágio 2 usando as seguintes técnicas:

1. Use um LOLBIN conhecido como MSBuild.exe

Funciona se o cliente não tiver implementado as regras recomendadas da lista de bloqueio.

Muitas soluções de EDR com “100% de cobertura MITRE” têm detecções para esses bem conhecidos LOLBINs.

2. Carregar lateralmente uma aplicação confiável com uma DLL não confiável

Eficaz se o WDAC estiver ativado, mas não estiver impondo a assinatura de DLL.

3. Exploração da regra de exclusão personalizada da política WDAC do cliente

O curso CRTO2, de Daniel Duggan (@_RastaMouse), faz um excelente trabalho ao abordar este tema.

Viável se iniciado a partir da suposta violação com acesso VDI/RDP

4. Encontrar uma nova cadeia de execução em uma aplicação confiável que permita a implementação C2