Casey Smith, un investigador de Colorado ha descubierto un fallo de seguridad en Regsvr32 permite saltarse las listas de aplicaciones permitidas, como por ejemplo, en el caso de uso de la herramienta Microsoft AppLocker.
¿De qué se trata el fallo?
Ciertos entornos, por algún motivo, necesitan tener restringidas las aplicaciones que se ejecutan en sus máquinas. Este método podría hacer que un atacante pudiera ejecutar cualquier aplicación aunque esté restringida, permitiéndole ejecutar también código remoto mediante acceso físico.
Sin embargo, la parte interesante está en que el registro de un sct por parte de regsvr32 no deja ninguna huella de su uso en el sistema, a excepción de lo que haga el atacante, por lo que localizar equipos en los cuales la vulnerabilidad ha podido ser atacada puede volverse complicado.
¿A quién afecta?
Ante el revuelo que muchas otras web han montado haciendo eco de una noticia que no afecta al 99% de sus usuarios, algunas con contenidos claramente alarmistas y titulares como “Un nuevo fallo de seguridad puede poner en peligro tu PC” y que debería quedarse en un problema de seguridad para corregir por parte de Microsoft, hemos hecho esta lista recopilando las situaciones bajo las que afecta el fallo:
- Si tu equipo no tiene restricción de ejecución de aplicaciones no te afecta el fallo.
- Si tu equipo no está dentro de un dominio que use applocker, o no conoces lo que es applocker en tu equipo personal, no te afecta el fallo
- Las versiones de Windows 10 Home o Windows 7/8/8.1 que no sean Ultimate o Pro no pueden usar applocker, por lo que no les afecta el fallo
- Las versiones de Windows Enterprise, Ultimate, Pro o cualquier otra versión que use y tenga activado applocker (Bien porque lo ha activado el propio usuario o porque lo ha activado el administrador del dominio) está afectada por el fallo siempre y cuando el atacante tenga acceso físico o remoto a la máquina.
- El fallo no se puede explotar de manera remota, se necesita acceso al equipo físico (acceso a teclado) para ejecutar regsvr32 o regsvr64
- Las aplicaciones abiertas y ejecutadas mediante el fallo se ejecutan a nivel de usuario.
Muchos ITs conocían ya este procedimiento y lo usaban desde hace algunos años, por lo que el descubrimiento de un fallo de seguridad puede ser puesto en duda por algunos. Esperemos a ver cómo Microsoft ataja el problema.
¿Cómo mitigar?
Si en tu empresa está activado applocker, o, por algún extraño motivo has dedidido activarlo en tu equipo personal, puedes mitigar el fallo hasta que Microsoft saque un parche de las siguientes maneras:
- Bloqueando mediante política de grupo (en caso de organizaciones) o mediante el firewall de Windows o uno de terceros (en caso de particulares) RegSvr32 y RegSvr64. Esto hará que el atacante no pueda ejecutar el script remoto.
- Si usas Device Guard (Completamente activo con protección de ejecución de scripts) en Windows 10 Enterprise, bloqueará el intento de descarga del script.
- Bloqueando el acceso a la red fuera de la organización, en caso de ser posible, también bloqueará el intento de descarga del script
¿Cómo se si tengo activado applocker?
- Presionamos Win+R, escribimos gpedit.msc y damos a intro. Se abrirá el Editor de directivas de grupo. Si Windows te dice que no se encuentra el archivo tu versión de Windows no tiene applocker.
- Una vez en el Editor de Directivas de grupo, navegamos a Configuración del Equipo > Configuración de Windows > Configuración de Seguridad > Directivas de restricción de aplicaciones > Applocker
- Una vez allí, si nos aparece una pantalla similar a esta (sin reglas y con el aviso) no estamos usando Applocker, por lo que el fallo de seguridad es irrelevante para nosotros:
Así pues, este fallo solamente afecta a los ITs de empresas que usen AppLocker, y de manera muy baja, ya que se necesita acceso físico al equipo (con teclado y ratón) para poder explotarlo. Mitigarlo es altamente sencillo, realizable en unos pocos minutos.