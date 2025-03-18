Windows Defender Application Control (WDAC) adalah solusi keamanan yang hanya mengizinkan eksekusi perangkat lunak tepercaya. Karena solusi ini diklasifikasikan sebagai batas keamanan, Microsoft menawarkan hadiah bagi penemu bug untuk pembobolan yang memenuhi syarat, yang menjadikannya bidang penelitian yang aktif dan kompetitif.

Hasil dari pengiriman laporan hadiah bug bypass WDAC biasanya adalah:

Bypass diperbaiki; kemungkinan hadiah diberikan

Bypass tidak diperbaiki tetapi sebaliknya “dikurangi” dengan ditambahkan ke daftar blokir yang direkomendasikan WDAC. Kemungkinan tidak ada hadiah yang diberikan, tetapi penghargaan kehormatan biasanya diberikan

Bypass tidak diperbaiki, tidak ada hadiah yang diberikan, tidak ada penyebutan kehormatan

Melihat daftar blokir yang direkomendasikan WDAC Microsoft, kita melihat legenda seperti Jimmy Bayne (@bohops) dan Casey Smith (@subTee) telah menemukan bypass WDAC yang tetap tidak diperbaiki tetapi telah diberi sebutan kehormatan. Melihat di luar daftar ini, Proyek LOLBAS berisi bypass tambahan yang tidak diperbaiki yang belum diakui dalam daftar blokir Microsoft. Salah satu contohnya adalah aplikasi Microsoft Teams, yang tetap menjadi bypass WDAC yang layak meskipun didokumentasikan di LOLBAS.

Saat menghadapi WDAC selama Operasi Red Team, kami berhasil melewatinya dan menjalankan muatan Perintah dan Kontrol (C2) Stage 2 kami menggunakan teknik berikut:

1. Gunakan LOLBIN yang dikenal seperti MSBuild.exe

Berfungsi jika klien belum menerapkan aturan daftar blokir yang direkomendasikan.

Banyak solusi EDR dengan “Cakupan MITRE 100%” memiliki deteksi untuk LOLBin terkenal ini.

2. DLL memuat aplikasi tepercaya dengan DLL yang tidak tepercaya

Efektif jika WDAC diaktifkan tetapi tidak menerapkan penandatanganan DLL.

3. Mengeksploitasi aturan pengecualian khusus dari kebijakan WDAC klien

CRTO2 oleh Daniel Duggan (@_RastaMouse ) melakukan pekerjaan yang sangat baik dalam meliput hal ini.

Layak jika dimulai dari pelanggaran yang diasumsikan dengan akses VDI/RDP

4. Temukan rantai eksekusi baru dalam aplikasi tepercaya yang memungkinkan penerapan C2