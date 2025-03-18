Windows Defender Application Control (WDAC) ist eine Sicherheitslösung, die die Ausführung auf vertrauenswürdige Software beschränkt. Da es sich um eine Sicherheitsgrenze handelt, bietet Microsoft Bug-Bounty-Belohnungen für qualifizierte Umgehungen der Sicherheit an, was dies zu einem aktiven und wettbewerbsfähigen Forschungsfeld macht.

Typische Ergebnisse einer WDAC-Bypass-Bug-Bounty-Einreichung:

Bypass ist behoben; mögliche Kopfgeldauszahlung

Die Umgehung ist nicht behoben, sondern stattdessen „gemildert“, indem sie zur von WDAC empfohlenen Blockierliste hinzugefügt wurde. Es wird wahrscheinlich keine Prämie ausgezahlt, aber in der Regel gibt es eine ehrenvolle Erwähnung.

Umgehung ist nicht behoben, kein Kopfgeld ausgesetzt, keine ehrenvolle Erwähnung

Ein Blick auf die von Microsoft in WDAC empfohlene Blockierliste zeigt, dass Legenden wie Jimmy Bayne (@bohops) und Casey Smith (@subTee) WDAC-Umgehungen entdeckt haben, die noch nicht behoben sind, aber ehrenvolle Erwähnungen erhalten haben. Darüber hinaus enthält das LOLBAS-Projekt weitere nicht behobene Umgehungen, die in der Blockierliste von Microsoft nicht berücksichtigt wurden. Ein Beispiel ist die Microsoft Teams-Anwendung, die trotz ihrer Dokumentation in LOLBAS weiterhin eine funktionierende WDAC-Umgehung ist.

Beim Auftreten von WDAC während der Red Team Operations konnten wir es erfolgreich umgehen und unsere Stage 2 Command and Control (C2) Payload mit den folgenden Techniken ausführen:

1. Verwenden Sie ein bekanntes LOLBIN wie MSBuild.exe

Funktioniert, wenn der Client die empfohlenen Sperrlistenregeln nicht implementiert hat.

Viele EDR-Lösungen mit „100% MITRE-Abdeckung“ verfügen über Erkennungen für diese bekannten LOLBINs.

2. DLL-Sideloading einer vertrauenswürdigen Anwendung mit einer nicht vertrauenswürdigen DLL

Wirksam, wenn WDAC aktiviert ist, aber keine DLL-Signatur erzwingt.

3. Nutzen Sie eine benutzerdefinierte Ausschlussregel aus der WDAC-Richtlinie des Clients.

CRTO2 von Daniel Duggan (@_RastaMouse) deckt das sehr gut ab.

Durchführbar, wenn von dem angenommenen Verstoß mit VDI/RDP-Zugriff ausgegangen wird

4. Finden Sie eine neue Ausführungskette in einer vertrauenswürdigen Anwendung, die die Bereitstellung von C2 ermöglicht.