Los administradores descubren que los problemas de aplicación de scripts de PowerShell AppLocker/WDAC de Windows 11 24H2 persisten durante meses

Los administradores descubren que los problemas de aplicación de scripts de PowerShell AppLocker/WDAC de Windows 11 24H2 persisten durante meses

La actualización 24H2 de Windows 11 de Microsoft enfrenta críticas por problemas con AppLocker

La semana pasada, Microsoft anunció la disponibilidad general de Windows 11 24H2, lo que instó a los usuarios a descargar la última actualización de funciones. Sin embargo, este lanzamiento no ha estado exento de controversia, ya que han surgido varios problemas importantes. Los usuarios han reportado errores importantes relacionados con la actualización y ralentizaciones del rendimiento, lo que genera preocupación por la posible pérdida de datos.

Desafíos con la implementación de AppLocker

En 2023, Microsoft simplificó la implementación de AppLocker, una función de seguridad diseñada para ayudar a las empresas a gestionar el acceso a las aplicaciones. Sin embargo, la implementación parece haber experimentado pruebas insuficientes para los ciclos 2024-2025, lo que generó vulnerabilidades importantes.

Entendiendo AppLocker y su importancia

AppLocker proporciona control de aplicaciones mediante la definición de políticas que restringen los archivos y aplicaciones que los usuarios pueden ejecutar en sus sistemas. Estas políticas abarcan diversos tipos de archivos, como archivos EXE, scripts, paquetes de Windows Installer, archivos DLL y aplicaciones empaquetadas.

Los informes de los usuarios destacan una falla de seguridad

El problema se hizo conocido inicialmente cuando un usuario, CFou, informó en Stack Exchange que el ConstrainedLanguagemodo de PowerShell no funcionaba correctamente. En lugar de imponer restricciones, la sesión se configuraba en FullLanguage. Otro colaborador confirmó que este fallo se podía replicar en Windows 11 24H2, lo que generó alarmas en materia de seguridad, ya que permitía la ejecución sin restricciones de scripts potencialmente dañinos.

Perspectivas de la comunidad e investigaciones adicionales

Esta preocupación fue reiterada por el usuario de Reddit hornetfig, quien compartió experiencias similares en el subreddit sysadmin. Ante el creciente número de usuarios reportando el mismo problema, la posibilidad de explotación provocó un debate urgente en la comunidad.

Análisis técnico de Microsoft MVP

Roody Ooms, MVP de Microsoft, realizó una investigación que reveló que los problemas se debían a una implementación defectuosa de la nueva WldpCanExecuteFileAPI introducida en PowerShell 7.3. Esta versión reemplazó la WldpGetLockdownPolicyAPI heredada que las versiones anteriores utilizaban para aplicar los protocolos de seguridad de forma eficaz.

Reconocimiento de Microsoft y soluciones planificadas

Reconociendo las implicaciones de esta falla de seguridad, Microsoft está trabajando activamente en una solución. La próxima versión de PowerShell 7.6-preview.4 incluirá una corrección importante como parte de sus mejoras del motor:

Retorno a AppLocker después de WldpCanExecuteFile (#24912)

Más información

Para las personas que buscan información más técnica sobre este problema actual, Roody Ooms ha proporcionado detalles adicionales en su completa publicación de blog aquí.

Para obtener más actualizaciones sobre este asunto, consulte esta fuente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *