MSFT_SCRIPTRESOURCE绕过DEVICE GUARD\/CLM技术分析<\/h1>

1. 背景介绍<\/h2>
Device Guard及其附带的开源脚本环境是Windows系统中重要的安全防护机制。当系统处于约束语言模式(Constrained Language Mode, CLM)时，Device Guard会阻止执行未经签名的代码。本文分析了一种利用Microsoft签名的PowerShell模块`MSFT_ScriptResource.psm1<\/code>绕过这些限制的技术。<\/p>`

2. 技术原理<\/h2>
2.1 约束语言模式(CLM)的限制<\/h3>
在CLM环境下：<\/p>

阻止执行未经签名的代码<\/li>
限制某些PowerShell功能和API调用<\/li>
通过CVE-2017-8715修复后，已签名模块只能执行被Export-ModuleMember<\/code>导出的函数<\/li>
<\/ul>
2.2 MSFT_ScriptResource模块漏洞<\/h3>
MSFT_ScriptResource.psm1<\/code>模块中存在两个关键函数：<\/p>


Get-TargetResource函数<\/strong>：<\/p>

接受-GetScript<\/code>参数<\/li>
使用[ScriptBlock]::Create()<\/code>将传入代码转换为ScriptBlock<\/li>
将参数传递给ScriptExecutionHelper<\/code>函数<\/li>
<\/ul>
<\/li>

ScriptExecutionHelper函数<\/strong>：<\/p>

接收参数(包含创建的ScriptBlock)<\/li>
使用调用运算符(&<\/code>)执行ScriptBlock<\/li>
<\/ul>
<\/li>
<\/ol>
2.3 绕过机制<\/h3>
由于：<\/p>

该模块由Microsoft签名，默认允许以FullLanguage模式运行<\/li>
Get-TargetResource<\/code>函数被Export-ModuleMember<\/code>导出<\/li>
函数内部未对执行代码进行CLM限制检查<\/li>
<\/ol>
攻击者可利用此模块作为"代理"来执行任意代码，绕过CLM限制。<\/p>
3. 利用步骤<\/h2>
3.1 准备恶意代码<\/h3>
$code = @"
<\/span><\/span><\/span>using System;
<\/span><\/span><\/span>public class Test {
<\/span><\/span><\/span>    public static double Sqrt() {
<\/span><\/span><\/span>        return Math.Sqrt(4);
<\/span><\/span><\/span>    }
<\/span><\/span><\/span>}
<\/span><\/span><\/span>"@<\/span>
<\/span><\/span><\/code><\/pre>3.2 导入模块并执行<\/h3>
# 导入模块<\/span>
<\/span><\/span>Import-Module MSFT_ScriptResource
<\/span><\/span>
<\/span><\/span># 通过Get-TargetResource执行代码<\/span>
<\/span><\/span>Get-TargetResource -GetScript "Add-Type -TypeDefinition $code; [Test]::Sqrt()"<\/span>
<\/span><\/span><\/code><\/pre>3.3 执行效果<\/h3>

在CLM模式下，直接执行Add-Type<\/code>会失败<\/li>
通过MSFT_ScriptResource模块执行时，代码以FullLanguage模式运行<\/li>
成功加载并执行未签名代码<\/li>
<\/ol>
4. 防御与检测<\/h2>
4.1 微软修复方案<\/h3>
此漏洞被分配为CVE-2018-8212，微软通过以下方式修复：<\/p>

在模块内部添加CLM检查<\/li>
确保通过模块执行的代码仍受CLM限制<\/li>
<\/ul>
4.2 检测方法<\/h3>


ScriptBlock日志记录<\/strong>：<\/p>

启用ScriptBlock日志记录可捕获此类绕过尝试<\/li>
日志会记录通过模块执行的代码内容<\/li>
<\/ul>
<\/li>

WDAC监控<\/strong>：<\/p>

Windows Defender Application Control可检测异常模块使用<\/li>
微软已将此类型绕过添加到WDAC赏金计划<\/li>
<\/ul>
<\/li>
<\/ol>
5. 技术总结<\/h2>



关键点<\/th>
说明<\/th>
<\/tr>
<\/thead>


漏洞模块<\/td>
MSFT_ScriptResource.psm1<\/td>
<\/tr>

关键函数<\/td>
Get-TargetResource<\/td>
<\/tr>

利用参数<\/td>
-GetScript<\/td>
<\/tr>

执行机制<\/td>
通过ScriptBlock.Create和调用运算符<\/td>
<\/tr>

绕过效果<\/td>
CLM到FullLanguage模式提升<\/td>
<\/tr>

修复编号<\/td>
CVE-2018-8212<\/td>
<\/tr>

检测方法<\/td>
ScriptBlock日志记录<\/td>
<\/tr>
<\/tbody>
<\/table>
6. 研究意义<\/h2>

展示了签名模块可能存在的安全风险<\/li>
证明了模块导出函数检查的不足<\/li>
强调了深度防御的重要性<\/li>
促进了WDAC等更严格的安全控制机制发展<\/li>
<\/ol>
此技术虽然已被修复，但其研究思路仍对理解Windows安全机制和攻击面有重要价值。<\/p>

关键点<\/th>	说明<\/th> <\/tr> <\/thead>
漏洞模块<\/td>	MSFT_ScriptResource.psm1<\/td> <\/tr>
关键函数<\/td>	Get-TargetResource<\/td> <\/tr>
利用参数<\/td>	-GetScript<\/td> <\/tr>
执行机制<\/td>	通过ScriptBlock.Create和调用运算符<\/td> <\/tr>
绕过效果<\/td>	CLM到FullLanguage模式提升<\/td> <\/tr>
修复编号<\/td>	CVE-2018-8212<\/td> <\/tr>
检测方法<\/td>	ScriptBlock日志记录<\/td> <\/tr> <\/tbody> <\/table> 6. 研究意义<\/h2> 展示了签名模块可能存在的安全风险<\/li> 证明了模块导出函数检查的不足<\/li> 强调了深度防御的重要性<\/li> 促进了WDAC等更严格的安全控制机制发展<\/li> <\/ol> 此技术虽然已被修复，但其研究思路仍对理解Windows安全机制和攻击面有重要价值。<\/p>