LPAC Sandbox Launcher – Less Privileged AppContainer Sandbox Launcher

Screenshot:

Functii importante (minim)

• lpacCom
• lpacAppExperience
• registryRead

Event Viewer

Applications and Services Logs > Microsoft > Windows > Security-LessPrivilegedAppContainer > Operational

• unele activități, dar nu prea multe detalii încă. Probabil mai multe detalii în versiunile viitoare ale Windows

LPAC File System Access

LPAC este în esență Default Deny AppContainer. Trebuie să-i dați permisiuni prin capabilități și multe altele.

Exemple de comenzi “icacls”

icacls D:\* /grant *S-1-15-2-2:(OI)(CI)(RX) /T

S-1-15-2-2 = ALL RESTRICTED APPLICATION PACKAGES = LPAC

(RX) gives Read & Execute access. (M) gives Modify access. (F) gives Full access.

Procese LPAC

Utilizatorii PowerShell pot utiliza instrumentul excelent NtObjectManager al lui James Forshaw (https://www.powershellgallery.com/packages/NtObjectManager/) instrument excelent pentru a identifica LPAC. Cmdlet Get-NtProcessMitigations va diferenția între AppContainer obișnuit și LPAC (AppContainer mai puțin privilegiat) din ieșire.

Process Hacker (cele mai recente versiuni de Nightly) poate identifica și LPAC. În fila Token, accesați Advanced pentru a afișa Token Properties și mergeți la fila Atribute. LPAC poate fi identificat cu atributul de securitate WIN: // NOALLAPPPKG.

De asemenea, programul TokenViewer de James Forshaw, care face parte din instrumentele de analiză-sandbox-atacurface-analiză Google (https://github.com/googleprojectzero/sandbox-attacksurface-analysis-tools) poate identifica, de asemenea, LPAC prin intermediul WIN: // NOALLAPPPKG atribut de securitate și este de asemenea, fantastic în ceea ce privește vizualizarea capabilităților și altele.