Ein Sicherheitsforscher aus Colorado hat einen Fehler unter Windows 10 entdeckt, der die Umgehung von AppLocker erlaubt. Die Funktionalität soll es erlauben, dass ausgewählte Nutzer nur auf gewisse Anwendungen zugreifen können, was vor allem in Unternehmen genutzt wird.
Regsvr32 ist ein Kommandozeilen-Tool, das es erlaubt, DLL-Dateien zu registrieren, sodass gewisse Programme, die der Nutzer verwenden darf, darauf zugreifen können. Indem man unsignierten Code in den Register-Tag der DLL schreibt und mittels regsvr32 aufruft, wird der Code ausgeführt. Entgegen zahlreicher Medienberichte handelt es sich hierbei um keinen Registry-Hack, das Programm schreibt nicht einmal in die Registry. Microsoft hat es ganz einfach verabsäumt, den Code, der sich im Register-Tag befindet, zu überprüfen. Den Fehler kann aber jeder Nutzer ausnutzen, es sind keine Administratorrechte notwendig und die Sicherheitslücke kann auch über das Netzwerk genutzt werden, da regsvr32 auch URLs akzeptiert.
Nutzer von AppLocker können regsvr32.exe über die Windows Firewall blockieren, um eine Ausführung über das Netzwerk zu verhindern. Microsoft hat die Lücke noch nicht kommentiert.
via mspu / Quelle: Casey Smith