深度防御——微软方式（第94部分）：AppLocker中被植入的后门

发件人：Stefan Kanthak 通过Fulldisclosure <fulldisclosure () seclists org> 日期：2025年9月22日 16:27:42 +0200

大家好，

多年来，微软将DLL文件domain_actions.dll和well_known_domains.dll作为其Edge浏览器以及Windows WebView组件的一部分安装到每个用户配置文件中，未采取任何防篡改保护措施。

在Windows 11 24H2系统中，这些文件的当前路径为：

• "%LOCALAPPDATA%\Microsoft\Edge\User Data\Domain Actions\3.0.0.16\domain_actions.dll"
• "%LOCALAPPDATA%\Microsoft\Edge\User Data\Domain Actions\3.0.0.16\well_known_domains.dll"
• "%LOCALAPPDATA%\Microsoft\Windows\SharedWebView\EBWebView\Domain Actions\3.0.0.16\domain_actions.dll"
• "%LOCALAPPDATA%\Microsoft\Windows\SharedWebView\EBWebView\Domain Actions\3.0.0.16\well_known_domains.dll"

具有安全意识的Windows管理员通过SAFER（即软件限制策略）、AppLocker或WDAC（即Windows Defender应用程序控制）来阻止用户可写位置中DLL的执行，这一做法已持续超过24年。具体参考示例：

• “使用软件限制策略保护免受未经授权的软件” https://technet.microsoft.com/en-us/library/cc507878.aspx
• 或我的个人网站 https://skanthak.hier-im-netz.de/SAFER.html

2025年3月13日发布的Edge 135.0.3179.11（Beta版）和2025年4月3日发布的Edge 135.0.3179.54（稳定版）的发布说明中包含以下关键部分：

| 修复内容 | * 修复了AppLocker阻止已知DLL（如well_known_domains.dll和domain_actions.dll）的问题。

换句话说：在2025年3月/4月，微软在AppLocker中植入了一个后门，允许执行上述DLL文件，这违反了"除非通过规则明确允许，否则应阻止所有位置执行"的原则！

修复建议：在AppLocker配置中添加明确的拒绝规则！

保持关注，并远离不可信任的垃圾软件

Stefan Kanthak

通过Full Disclosure邮件列表发送 https://nmap.org/mailman/listinfo/fulldisclosure 网络档案和RSS：https://seclists.org/fulldisclosure/