Regsvr32 uruchamia skrypty z Sieci. Jedną komendą złamiesz Windowsa.
Być może to nie błąd, lecz po prostu niezamierzona funkcjonalność Windowsa. Na pewno jednak odkryte przez Caseya Smitha działanie systemowego narzędzia Regsvr32, przeznaczonego do rejestrowania plików DLL w Rejestrze wzbudzi spore zainteresowanie zarówno wśród cyberprzestępców, jak i np. uczniów w szkołach. Któż się spodziewał, że pozwoli ono całkowicie obejść systemowe zabezpieczenia i uruchamiać w Windowsie dowolne skrypty?
AppLocker wykorzystywany jest już od czasów wprowadzenia na rynek Windowsa 7 do blokowania użytkownikom dostępu do niepożądanych skryptów i aplikacji – i do tej pory był skutecznym sposobem na zamknięcie „okienek”. Okazuje się jednak, że Regsvr32 (Microsoft Register Server), będący podpisaną przez Microsoft binarką, domyślnie obecną w systemie, pozwala na pobranie z Sieci i uruchomienie dowolnego kodu w JavaScripcie lub VBScripcie i jego uruchomienie. Kod ten zaś może uruchomić dowolną aplikację w systemie, omijając wszelkie zabezpieczenia Windowsa.
W przykładzie podanym przez The Register, który jako pierwszy poinformował o tej ciekawej możliwości, regsvr32 wywoływany jest z czterema przełącznikami. /s wycisza komunikaty, /n nakazuje nie korzystać z komponentu DllRegisterServer, /i przekazuje opcjonalny parametr do funkcji DllInstall (tutaj skrypt, który nakazuje uruchomić konsolę CMD.exe) , zaś /u oznacza próbę odrejestrowania obiektu. Widoczna w wywołaniu biblioteka scrobj.dll to Microsoft Script Component Runtime.
Jeśli więc regsvr32 dostanie URL, pod którym znajdować się będzie plik XML z uruchamialnym kodem, to pobierze go po HTTP lub HTTPS i uruchomi, poprzez próbę odrejestrowania pliku DLL. Nie trzeba tu żadnych specjalnych uprawnień, okna są szeroko otwarte dla każdego.
Odkrywca tej „funkcjonalności”, która daje zupełnie nowe możliwości w dziedzinie penetrowania Windowsów, przygotował już cały zbiór skryptów, które można w ten sposób uruchomić. Możecie je znaleźć na GitHubie – pomogą sprawdzić, na ile Wasze systemy są na to podatne.
Znany ekspert od systemów Microsoftu Alex Ionescu zachwyca się odkryciem. To w końcu wbudowane w system zdalne uruchamianie kodu bez uprawnień administratora, które omija mechanizm białych list, nie pozostawia śladów na dysku, nie dotyka Rejestru i można to wszystko w dodatku schować w zaszyfrowanej sesji HTTPS. Jak do tej pory łatek nie ma. Jedyne co pozostaje administratorom, to zablokować dostęp do Sieci dla regsvr32 na poziomie zapory sieciowej.
Witaj gościu. Dziękujemy, że przeglądasz nasze forum ale czy wiesz, że zakładając konto możesz w pełni korzystać z dobrodziejstw jakimi są promocje i konkursy. Nie zobaczysz tu też żadnych reklam a rejestracja zajmie Ci tylko chwilę.
Ta strona wykorzystuje ciasteczka (cookies) w celu: utrzymania sesji zalogowanego Użytkownika, gromadzenia informacji związanych z korzystaniem z serwisu, ułatwienia Użytkownikom korzystania z niego, dopasowania treści wyświetlanych Użytkownikowi oraz tworzenia statystyk oglądalności czy efektywności publikowanych reklam.Użytkownik ma możliwość skonfigurowania ustawień cookies za pomocą ustawień swojej przeglądarki internetowej. Użytkownik wyraża zgodę na używanie i wykorzystywanie cookies oraz ma możliwość wyłączenia cookies za pomocą ustawień swojej przeglądarki internetowej.
