
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=windows-1255">

<META NAME="Generator" CONTENT="MS Exchange Server version 16.0.15330.20264">

<TITLE>V1.16.2 Update - problems encountered</TITLE>

</HEAD>

<BODY>

<!-- Converted from text/rtf format -->


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">I have just installed the above version</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">on:</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Edition Windows 10 Pro</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Version 21H2</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri (Hebrew)">Installed on    ı04/ı04/ı2022</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">OS build        19044.1865</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Experience      Windows Feature Experience Pack 120.2212.4180.0</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">And run into some issue which at first sight would appear to be windows tightening the protection using ASLR</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri"> so what follows maybe of help to others.</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">I have a</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">PowerShell</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri"> script to update the configuration files which has always run without issue, Now I</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">g</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri">et</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">:</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">“</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri">App or process blocked: cmd.exe</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Blocked by: Attack</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri"> Surface Reduction</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Rule:</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">Block executable files from running unless they meet a prevalence, age or trusted list criteria</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Affected Items:</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">C:\Program Files\Unbound\unbound-checkconf.exe</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri">”</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Cmd.exe is trying to run</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">unbound-checkconf.exe</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri"> which windows is not happy with.</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri"></FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">unbound-checkconf.exe</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri"> does not have the required “status” for ASLR it would seem.</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"></SPAN><A HREF="https://docs.microsoft.com/en-gb/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-deployment-implement?view=o365-worldwide"><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><U><FONT COLOR="#0563C1" FACE="Calibri">https://docs.microsoft.com/en-gb/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-deployment-implement?view=o365-worldwide</FONT></U></SPAN><SPAN LANG="en-gb"></SPAN></A><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">is a helpful page and running the following in a</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">PowerShell</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri"></FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">window</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri"> with admin privs resolves the issue</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri">:</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Add-MpPreference -AttackSurfaceReductionOnlyExclusions "C:\Program Files\Unbound"</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">So now v1.16.2 is running OK with a new config</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri">uration.</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Just to complete the problems I had…</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">Unbound used to run quite happily under the “Network Servic</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri">e”</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">account</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">something that was considered a long time ago and not implemented by NLNetLabs.</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">I did however persevere with getting the setup to work and it was running</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">perfectly until this update.</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">In order to get things running instead of upgrading over the top and I have done for many versions. I uninstalled Unbound and reinstalled it</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">to run under the system account.</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">One of the problems under the network service</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">account</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"> <FONT FACE="Calibri">was that there was no logging output although unbound wa</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri">s resolving names. </FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">I will when I have time investigate further to see if I can return to the status quo I had before</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"><FONT FACE="Calibri">.</FONT></SPAN></P>


<P DIR=LTR><SPAN LANG="en-gb"><FONT FACE="Calibri">I hope that helps if you have the same issues.</FONT></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN><SPAN LANG="en-gb"></SPAN></P>


</BODY>

</HTML>