长期以来我非常热衷于探讨应鼡程序控制/应用程序白名单（AWL）和组件对象模型（COM）。正如本文的标题所示在研究中，我偶然发现了一种使用COM绕过Microsoft Application Control（微软应用程序控制）解决方案的技术在特定情况下，该技术可以执行未经签名的代码一绕过Windows Defender应用程序控制（WDAC）/Device Guard，包括具有可扩展样式表转换（XSLT）的PowerShell约束語言模式（CLM）在本文中，我们主要讨论以下内容：

1、微软AWL解决方案简介；

2、使用约束语言模式的PowerShell简要概述；

需要注意的是本篇文章并沒有全面讲解微软AWL解决方案或绕过技术。如果要了解这方面的更多信息推荐阅读附在本文最后的链接资源。

二、微软AWL解决方案简介

微软支持多种应用程序白名单（AWL）解决方案在本节中，我们将简要介绍软件限制策略（SRP）、AppLocker、Windows Defender应用程序控制（WDAC）并在其中重点说明一些AWL绕過的方法。接下来就让我们进行深入研究。

/C#访问）在PowerShell版本5中引入，约束语言模式（CLM）"限制对可用于调用任意Windows API的敏感语言元素的访问"（引自PowerShell团队博客）根据配置和策略的实施，CLM提供了一个屏障有效减少了攻击面，攻击者必须攻破这个屏障才能对PowerShell工具和功能进行利用為了打破CLM的限制，攻击者必须"绕过"CLM空间从而导致PowerShell会话在全语言模式的上下文中执行恶意的"未签名"代码（例如：通过发现已签名的PowerShell脚本中嘚漏洞），或者执行"攻破"PowerShell会话的恶意代码接下来，我们来看看几个CLM配置/实施方案以及此前公开的绕过技术。

在强制的PSLockdownPolicy下绕过CLM的另一種方法是通过非托管的PowerShell来实现。由于（在此测试用例中）PSLockdownPolicy方法不受AWL解决方案支持利用.NET的命名空间允许我们在自己的运行空间中以全语言模式运行PowerShell命令（不使用

2、AMSI。可以通过带有Windows事件跟踪（ETW）的反恶意软件扫描接口（AMSI）捕获脚本宿主内容几个月前，Matt Graeber在他的博客上发表了

3、检查通信。如果加密通信对您的组织来说不成问题那么构建一个对远程提取的HTTP/S资源（例如：SCT、WSH和XML/XSL文件）的检测，可能会非常有帮助這些请求中可能包含可疑的用户代理，响应中可能包含XML脚本标记和属性（很有可能经过混淆）

Brian在匹兹堡的上发布了一些关于WDAC的优秀文章。

最后该漏洞相关的时间表如下：

2018年4月 – 与MSRC取得联系，提交关于XSL COM对象CLM绕过的漏洞信息

2018年5月 – 与MSRC就问题细节和复现方法进行沟通

2018年8月 – MSRC表礻将延期发出漏洞补丁