深度防御——微软之道（第94部分）：AppLocker中被植入的后门

自：Stefan Kanthak 通过全披露邮件列表 <fulldisclosure () seclists org> 日期：2025年9月22日 16:18:01 +0200

大家好，

多年来，微软将其Edge浏览器以及Windows的WebView组件中的DLL文件domain_actions.dll和well_known_domains.dll安装到每个用户配置文件中，且未采取防篡改保护措施。

在Windows 11 24H2系统中，这些文件的当前路径为：

• "%LOCALAPPDATA%\Microsoft\Edge\User Data\Domain Actions\3.0.0.16\domain_actions.dll"
• "%LOCALAPPDATA%\Microsoft\Edge\User Data\Domain Actions\3.0.0.16\well_known_domains.dll"
• "%LOCALAPPDATA%\Microsoft\Windows\SharedWebView\EBWebView\Domain Actions\3.0.0.16\domain_actions.dll"
• "%LOCALAPPDATA%\Microsoft\Windows\SharedWebView\EBWebView\Domain Actions\3.0.0.16\well_known_domains.dll"

注重安全的Windows管理员通过SAFER（即软件限制策略）、AppLocker或WDAC（即Windows Defender应用程序控制）等方式，超过24年来一直阻止在用户可写位置执行DLL文件。例如，可参考《使用软件限制策略防止未经授权的软件》https://technet.microsoft.com/en-us/library/cc507878.aspx或我的个人页面https://skanthak.hier-im-netz.de/SAFER.html。

2025年3月13日发布的Edge 135.0.3179.11（测试版）和2025年4月3日发布的Edge 135.0.3179.54（稳定版）的发布说明中包含以下关键部分：

| 修复 | * 修复了AppLocker阻止已知DLL（如well_known_domains.dll和domain_actions.dll）的问题。

换句话说：在2025年3月/4月，微软在AppLocker中植入了一个后门，允许执行上述DLL文件！

修复建议：在AppLocker配置中添加明确的拒绝规则！

保持关注，并远离不可信的垃圾软件。 Stefan Kanthak

———————————————————————————————————————— 通过全披露邮件列表发送 https://nmap.org/mailman/listinfo/fulldisclosure 网络存档和RSS：https://seclists.org/fulldisclosure/