Applocker es una característica introducida por Microsoft con Windows 7 y Windows Server 2008 R2 que permite especificar qué usuarios o grupos de usuarios pueden correr ciertas aplicaciones en empresas y trabaja con reglas configuradas por el administrador de la red para permitir o negar la ejecución de aplicaciones.



La semana pasada Casey Smith comentó en su blog el descubrimiento de una grave vulnerabilidad en Windows que permite burlar Applocker y luego ofreció una prueba de concepto en GitHub para demostrar la misma.

La vulnerabilidad que permite burlar Applocker en las ediciones de Windows para negocios en sistemas con Windows 7 o Windows Server 2008 R2 o mayor, utilizando Regsvr32 o Regsvr64 pueden apuntar a un archivo o secuencia de comandos (script) alojado remotamente para ejecutar cualquier aplicación.

windows-10-start

Como bien indican en TNW, el gran problema además de que potencialmente permitiría ejecutar malware aún si la organización utiliza Applocker, no necesita tener privilegios de administrador y ni siquiera alterar el registro del sistema operativo Windows.

Microsoft está en conocimiento de esta vulnerabilidad pero todavía no ha publicado el parche de seguridad para solucionar esta falla, así que por el momento y de acuerdo a CSO, los admin pueden desactivar Regsvr32.exe y Regsvr64.exe usando Windows Firewall.