Encuentran fallo de seguridad en AppLocker de Windows

0

Puede que tu ordenadores Windows  no se encuentren a salvo del malware por haber configurado Applocker.

Casey Smith un investigador de seguridad de Colorado, Estados Unidos, quien a través de su blog cuenta como descubrió el fallo de seguridad en la ediciones empresariales de Windows 7 en adelante,  el problema se presenta en la función AppLocker, junto con  el comando Regsvr32 que puede ejecutar un programa de forma remota.

 Es decir esta vulnerabilidad permite a los atacantes saltarse las restricciones de seguridad mediante el comando Regsvr32, con la cual se puede apuntar a un archivo remoto o script para ejecutar cualquier app que el atacante desee, comprometiendo así la seguridad del sistema, aún con AppLocker instalado, lo que lo transforma en un peligro inminente puesto que ya que no requiere acceso de administrador o alterar el registro del sistema y es difícil de rastrear.

La vulnerabilidad fue descubierta la semana pasada y Microsoft aún está por publicar un parche para solucionar este problema. 

Pero.. ¿Para qué sirve AppLocker?, Es una aplicación de gran ayuda para los administradores de equipos, ya que les facilita el trabajo a la hora de asignar qué usuarios y grupos tienen permiso para ejecutar programas en una organización que utilice identidades únicas de archivos. 

Y con la ayuda del comando Regsvr32 se pueden registrar y anular archivos DLL permitiendo que los equipos puedan ejecutar Software malicioso aunque se encuentre activada la función AppLocker. 

El propio Casey Smith, asegura que al usar el comando Regsvr32 no se altera el registro del sistema y por lo tanto no requiere privilegios. Esto último puede dificultar mucho la labor de los administradores a la hora de encontrar si alguien ha realizado cambios. 

Casey Smith también ha hecho publico los comandos necesarios que demuestran el fallo de seguridad. 

Por ahora Microsoft no ha lanzado ninguna actualización para corregirlo. Mientras tanto, la solución temporal, es desactivar Regsvr32.exe y Regsvr64.exe utilizando el Firewall, de esta forma estaremos protegidos hasta la solución por la empresa encuentre una solución.

Share.

Leave A Reply