Casey Smith, un investigador de seguridad en Colorado, ha dado la voz de alerta descubriendo un fallo de seguridad en torno a las ediciones empresariales de Windows 7 en adelante con la función AppLocker. Al parecer, la línea de comando Regsvr32 deja abierta una puerta para ejecutar remotamente una aplicación en el sistema.
#2 Para gente como tu.
Casey Smith, un investigador de seguridad en Colorado, ha dado la voz de alerta descubriendo un fallo de seguridad en torno a las ediciones empresariales de Windows 7 en adelante con la función AppLocker. Al parecer, la línea de comando Regsvr32 deja abierta una puerta para ejecutar remotamente una aplicación en el sistema.
AppLocker es una característica introducida en Windows 7 y Windows Server 2008 R2 que permite a los administradores especificar qué usuarios o grupos pueden ejecutar aplicaciones en una organización basada en identidades únicas de archivos. Al utilizar la característica se pueden crear una serie de reglas con las que se permite o deniega la ejecución de las aplicaciones a los usuarios.
Por su parte, Regsvr32 es una utilidad de línea de comandos que se puede utilizar para registrar y anular DLLs. Tal y como explica Smith, haciendo uso de la misma no se altera el registro del sistema (no requiere privilegios), razón por la que será difícil para los administradores encontrar si los cambios se realizan en el sistema.
Por tanto se trata de un fallo de seguridad que expone a los equipos al peligro de ejecutar software malicioso incluso si está instalado AppLocker, una característica cuyo principio era la seguridad. Además, no requiere acceso de administrador o alterar el registro del sistema, por lo que a todo ello se suma que es difícil de rastrear. Una vulnerabilidad que fue descubierta la semana pasada, momento en el que Casey Smith escribió sobre el descubrimiento y publicó la secuencia de comandos de prueba para demostrarlo en GigHub.
En estos momentos Microsoft todavía no ha publicado un parche para solucionar el problema, sin embargo Casey Smith apunta que es posible desactivar Regsvr32.exe y Regsvr64.exe utilizando el Firewall.
No sé si lo he entendido bien. Parece ser que un usuario sin privilegios puede usar regsvr32 para desregistrar una DLL instalada por el administrador, que es usada el binario programa.exe y registrar la suya propia con las mismas funciones que la original pero que hagan cosas diferentes. De esta forma al llamar a programa.exe se ejecutará tu código en lugar del original del administrador. ¿Es eso? Porque si es eso es una cagada muy gorda
No es noticia. El 90% de las actualizaciones de Windows empiezan así: "Se ha descubierto un fallo de seguridad que permitiría a un usuario malintencionado hacerse con el control del equipo..."
Comentarios
Es una feature.
'-Vaya, han hecho pública otra de nuestras propias puertas traseras...'
¿Permitiría o permite?
#2 Para gente como tu.
Casey Smith, un investigador de seguridad en Colorado, ha dado la voz de alerta descubriendo un fallo de seguridad en torno a las ediciones empresariales de Windows 7 en adelante con la función AppLocker. Al parecer, la línea de comando Regsvr32 deja abierta una puerta para ejecutar remotamente una aplicación en el sistema.
AppLocker es una característica introducida en Windows 7 y Windows Server 2008 R2 que permite a los administradores especificar qué usuarios o grupos pueden ejecutar aplicaciones en una organización basada en identidades únicas de archivos. Al utilizar la característica se pueden crear una serie de reglas con las que se permite o deniega la ejecución de las aplicaciones a los usuarios.
Por su parte, Regsvr32 es una utilidad de línea de comandos que se puede utilizar para registrar y anular DLLs. Tal y como explica Smith, haciendo uso de la misma no se altera el registro del sistema (no requiere privilegios), razón por la que será difícil para los administradores encontrar si los cambios se realizan en el sistema.
Por tanto se trata de un fallo de seguridad que expone a los equipos al peligro de ejecutar software malicioso incluso si está instalado AppLocker, una característica cuyo principio era la seguridad. Además, no requiere acceso de administrador o alterar el registro del sistema, por lo que a todo ello se suma que es difícil de rastrear. Una vulnerabilidad que fue descubierta la semana pasada, momento en el que Casey Smith escribió sobre el descubrimiento y publicó la secuencia de comandos de prueba para demostrarlo en GigHub.
En estos momentos Microsoft todavía no ha publicado un parche para solucionar el problema, sin embargo Casey Smith apunta que es posible desactivar Regsvr32.exe y Regsvr64.exe utilizando el Firewall.
#4 Para gente como tú: https://es.wikipedia.org/wiki/Modo_condicional
#8 En la noticia o muy mal leo o no hay ni un solo verbo en condicional.
#9 Me temo que muy mal lees entonces.
#10 Pues en el cuerpo de la noticia no veo ni uno.
#11
#12 Creo que era mas que evidente que no me refería al titular pero tranquilo.
Ganaste
#13 Creo que es más que evidente que en #2 me refiero al titular.
El mismo Windows cuyo "firewall" de entrada le da acceso total a la conexión a un programa, y DESPUÉS te pregunta si te parece bien.
No sé si lo he entendido bien. Parece ser que un usuario sin privilegios puede usar regsvr32 para desregistrar una DLL instalada por el administrador, que es usada el binario programa.exe y registrar la suya propia con las mismas funciones que la original pero que hagan cosas diferentes. De esta forma al llamar a programa.exe se ejecutará tu código en lugar del original del administrador. ¿Es eso? Porque si es eso es una cagada muy gorda
#7 no, no es eso.
No es noticia. El 90% de las actualizaciones de Windows empiezan así: "Se ha descubierto un fallo de seguridad que permitiría a un usuario malintencionado hacerse con el control del equipo..."
#6 lo que pasa es que a muchos se le pone dura publucar posibles fallos de seguridad de windows.
Otro más...