AppLocker permet à l'outil Regsvr32.exe, natif de Windows a fonctionner sans limites. Regsvr32.exe est aussi une partie de support de Windows, assurant l'enregistrement des DLL et des contrôles ActiveX dans le registre windows.
Regsvr32.exe peut être appelé et exécuter des scripts à distance. En plus, Regsvr32.exe ne laisse aucun enregistrement dans le système et ne nécessite pas d'autorisations d'administrateur pour le faire.
Et permet ainsi de contourner le système d’application mis en place grâce à AppLocker et d’exécuter une application non validée.La manipulation ne nécessite pas d’authentification de la part de l’attaquant et permet ainsi à un utilisateur d’installer une application sans avoir besoin des droits d’administration.
La faille a été découverte par Casey Smith, un chercheur en sécurité qui a mis sur GitHub ses conclusions et quelques scripts qui prouvent sa découverte. Plusieurs autres chercheurs ont testé la faille et ont confirmé sa validité.
Pourtant la dernière mise à jour de sécurité de Microsoft, publié la semaine dernière, ne comporte pas de solution à ce problème et à l'heure actuelle il n'y a pas de solution officielle.
La solution la plus simple à l’heure actuelle semble être de bloquer l’accès au réseau de RegSVR32 en le rajoutant dans la liste bloquée de trafic entrant de pare-feu windows, mais cela a d'autres implications sur le fonctionnement normale de votre système d'exploitation.
Aucun commentaire:
Enregistrer un commentaire