none
Seltsames Applocker Problem mit Zoom Outlook Plugin RRS feed

  • Frage

  • Hallo,

    wir haben hier an manchen Geräten ein seltsames Zoom Outlook Plugin Problem welches immer mal wieder aber nicht reproduzierbar an einzelnen Geräten auftaucht aber eben auf den allermeisten Geräte ganz normal funktioniert.

    Die Standardregeln für %Windows% und %ProgramFiles% sind gesetzt und ansonsten noch ein Latte von Ausnahmen für diverse Dinge.

    Das Zoom Outlook Plugin liegt in "C:\Program Files (x86)\Zoom\Zoom Outlook Plugin\plugin_Launcher.exe" und sollte somit von der Standardregel abgedeckt sein. Und ist es auch bei den allermeisten Geräten. Bei den Geräten bei denen es nicht funktioniert steht im Applocker Eventlog unter Details folgendes (UserID und Computer habe ich geändert):

    - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    - <System>
      <Provider Name="Microsoft-Windows-AppLocker" Guid="{cbda4dbf-8d5d-4f69-9578-be14aa540d22}" />
      <EventID>8004</EventID>
      <Version>0</Version>
      <Level>2</Level>
      <Task>0</Task>
      <Opcode>0</Opcode>
      <Keywords>0x8000000000000000</Keywords>
      <TimeCreated SystemTime="2020-09-22T23:44:01.485166700Z" />
      <EventRecordID>87716</EventRecordID>
      <Correlation />
      <Execution ProcessID="8788" ThreadID="5008" />
      <Channel>Microsoft-Windows-AppLocker/EXE and DLL</Channel>
      <Computer>pcname.domain.xyz.de</Computer>
      <Security UserID="S-1-5-21-abc-def-xyz-yxy" />
      </System>
    - <UserData>
    - <RuleAndFileData xmlns="http://schemas.microsoft.com/schemas/event/Microsoft.Windows/1.0.0.0">
      <PolicyNameLength>3</PolicyNameLength>
      <PolicyName>EXE</PolicyName>
      <RuleId>{6eadb593-a01f-4b45-b44b-35f8e5570b1e}</RuleId>
      <RuleNameLength>35</RuleNameLength>
      <RuleName>%PROGRAMFILES%\Eckels Engineering\*</RuleName>
      <RuleSddlLength>256</RuleSddlLength>
      <RuleSddl>D:(XD;;FX;;;S-1-1-0;((APPID://PATH Contains "%PROGRAMFILES%\ECKELS ENGINEERING\*") && (!((Exists APPID://SHA256HASH) && (APPID://SHA256HASH Any_of {#a913ca05d60f4645e731d6a99f97e4792d121760ffa74b143fadb7ec4cc9f8f4, #0c8dc651fddefdf0b8860741639b1c16a5ef1...</RuleSddl>
      <TargetUser>S-1-5-21-abc-def-xyz-yxy</TargetUser>
      <TargetProcessId>8000</TargetProcessId>
      <FilePathLength>67</FilePathLength>
      <FilePath>C:\Program Files (x86)\Zoom\Zoom Outlook Plugin\plugin_Launcher.exe</FilePath>
      <FileHashLength>0</FileHashLength>
      <FileHash />
      <FqbnLength>1</FqbnLength>
      <Fqbn>-</Fqbn>
      <TargetLogonId>0x474fe3</TargetLogonId>
      </RuleAndFileData>
      </UserData>
      </Event>

    Die Regel "%PROGRAMFILES%\Eckels Engineering\*" brauche ich für eine Software die Schreibrechte der Benutzer im Programmordner "%PROGRAMFILES%\Eckels Engineering\" erfordert weil sonst das Programm nicht ordentlich funktioniert und daher verbiete ich dort erstmal alles um dann bestimmte Hashwerte vom Verbieten auszunehmen (um so zu gewährleisten dass User trotz vorhandener Schreibrechte nicht einfach malware.exe dort hinlegen können und diese nachher ausgeführt werden würde).

    Ich verstehe nicht warum das Outlook Plugin unter diese Regel fäll denn der Pfad ist doch komplett unterschiedlich.

    Auf den betroffenen Geräten werden die Gruppenrichtlinien sauber angewandt.

    Für Ideen wäre ich sehr dankbar.

    Mittwoch, 23. September 2020 05:21

Antworten

  • Answer from Zoom Support

    Hello,
    Thanks for contacting Zoom Support!

    This was a known bug that we have corrected. Please ensure that both the Outlook plug-in and Zoom Desktop app are running the versions below or higher.
    Outlook Plug-in: 5.2.41981.0729
    Desktop Client: 5.2.2 (45108.0831) Windows

    • Als Antwort markiert Sascha Osdoba Donnerstag, 12. November 2020 10:42
    Donnerstag, 12. November 2020 10:42

Alle Antworten

  • Für sowas ist u.U. der Processmonitor von Sysinternals gut um zu verfolgen, auf welche Ressourcen zugegriffen werden muss. Viele Einstellungen landen automatisch in
    %APPDATA%
    %LOCALAPPDATA%
    %CommonProgramFiles%
    %CommonProgramFiles(x86)%
    %ProgramData%
    oder einfach nur in %TEMP%/%TMP% oder sonstwo.

    Du weißt daher nicht, was das Addin u.U. intern aufruft und vielleicht nur unter bestimmten Bedingungen benötigt. Daher trifft es nicht alle.

    Mittwoch, 23. September 2020 08:15
  • Hallo,

    das Problem ist nicht reproduzierbar sondern tritt nur vereinzelt auf selbst wenn der User weder das Plugin noch Outlook aktiv nutzt daher ist es mit Procmon eher schlecht.

    Es wird ja der Pfad zur EXE im Log geschrieben und wenn es irgendwo in %appdata% geblockt werden würde dann würde ich das auch im Protokoll sehen. Hier blockt er aber im freigegebenen Standardpfad daher weiß ich nicht wie mir die Antwort helfen soll und ich würde gerne wissen warum es hier eben nicht unter die Standardregel fällt und somit erlaubt wäre sondern in die mit einem expliziten Pfad angegebene Ausnahmeregel fällt.


    Mittwoch, 23. September 2020 08:24
  • Der Applocker weist nur  die App aus, dass diese den Schutz verletzt hat.
    Wohin der Zugriff erfolgt wird anscheinend nicht protokolliert.
    Mittwoch, 23. September 2020 08:28
  • wir arbeiten seit 4 Jahren mit Applocker und ich hatte solch ein Problem noch nie und wir haben seltsamste Software (Verwaltung, Forschung und Entwicklung) am Start

    Der Zugriff auf irgendwelche Daten ist ja nicht das Problem und das Outlook Plugin wird nichts in dem genannten Ordner der expliziten Regel machen

    Mittwoch, 23. September 2020 08:33
  • Answer from Zoom Support

    Hello,
    Thanks for contacting Zoom Support!

    This was a known bug that we have corrected. Please ensure that both the Outlook plug-in and Zoom Desktop app are running the versions below or higher.
    Outlook Plug-in: 5.2.41981.0729
    Desktop Client: 5.2.2 (45108.0831) Windows

    • Als Antwort markiert Sascha Osdoba Donnerstag, 12. November 2020 10:42
    Donnerstag, 12. November 2020 10:42