Windows Defender Application Control (WDAC) es una solución de seguridad que restringe la ejecución a software de confianza. Dado que se clasifica como un límite de seguridad, Microsoft ofrece recompensas por la detección de errores que permitan eludirlo, lo que lo convierte en un campo de investigación activo y competitivo.

Resultados típicos de un envío de recompensas por errores de omisión de WDAC:

Se ha corregido el bypass; es posible que se conceda una recompensa

La omisión no se soluciona, sino que se “mitiga” al agregarse a la lista de bloqueo recomendada por WDAC. Probablemente no se concederá ninguna recompensa, pero se suele otorgar una mención honorífica

El bypass no está arreglado, no se concede recompensa ni mención honorífica

Al echar un vistazo a la lista de bloqueos recomendados por la WDAC de Microsoft, vemos que leyendas como Jimmy Bayne (@bohops) y Casey Smith (@subTee) han descubierto derivaciones del WDAC que siguen sin solucionarse, pero que han recibido menciones honoríficas. Además de esta lista, el LOLBAS Project contiene omisiones adicionales no corregidas que no se han reconocido en la lista de bloqueo de Microsoft. Un ejemplo es la aplicación Microsoft Teams, que sigue siendo una omisión viable de WDAC a pesar de estar documentada en LOLBAS.

Cuando nos encontramos con WDAC durante las operaciones del equipo rojo, lo omitimos con éxito y ejecutamos nuestra carga útil de comando y control (C2) de la etapa 2 utilizando las siguientes técnicas:

1. Use un LOLBIN conocido como MSBuild.exe

Funciona si el cliente no ha implementado las reglas de la lista de bloqueo recomendadas.

Muchas soluciones EDR (detección y respuesta de endpoints) con "cobertura 100 % MITRE" tienen detecciones para estos LOLBIN conocidos.

2. Cargue lateralmente una aplicación de confianza con una DLL que no sea de confianza

Efectivo si WDAC está habilitado pero no aplica la firma de DLL.

3. Explote la regla de exclusión personalizada de la política de WDAC del cliente

CRTO2 de Daniel Duggan (@_RastaMouse) hace un gran trabajo al tratar este tema.

Viable si se inicia a partir de la supuesta infracción con acceso VDI/RDP

4. Encuentre una nueva cadena de ejecución en una aplicación de confianza que permita la implementación de C2