عبور از سد AppLocker با فرمان Regsvr32
به گزارش شرکت مهندسی شبکه گستر، یکی از فرامین Windows با نام Regsvr32 این امکان را برای فرد مهاجم فراهم می سازد که کد مخرب میزبانی شده بر روی اینترنت را بدون نیاز به سطح دسترسی Administrator و حتی در صورت وجود سیستم امنیتی AppLocker بر روی دستگاه قربانی اجرا کرده و دستگاه را به تسخیر خود در آورد.
Regsvr32 نیز که با نام Microsoft Register Server نیز شناخته می شود یک فایل امضاء شده توسط شرکت مایکروسافت است که به صورت پیش فرض در سیستم های عامل این شرکت فعال و قابل اجرا است. از Regsvr32 برای ثبت فایل های DLL و ActiveX در محضرخانه (Registry) سیستم عامل Windows استفاده می شود.
محقق کاشف این ضعف امنیتی گفته که این اشکال را در جریان بررسی راه های دور زدن AppLocker شناسایی نموده و آن را به صورت خصوصی به شرکت مایکروسافت اعلام کرده است.
قابلیت AppLocker نخستین بار در نسخه های 7 و Server 2008 R2 سیستم عامل Windows معرفی شد. با استفاده از این قابلیت مدیر شبکه قادر است اجرای برنامه هایی خاص را بر اساس قواعد مورد نظر در سطح سازمان محدود کند.
نقطه ضعف شناسایی شده از آنجا نشأت می گیرد که مهاجم می تواند با استفاده از Regsvr32 یک کد JavaScript یا VBScript را از اینترنت دریافت کرده و آن را در بستر خط فرمان دستگاه قربانی اجرا کند.
نمونه ای از نحوه اجرای کد در اینجا نمایش داده شده است.
نکته اینجاست که AppLocker و به طور کلی نرم افزارهای کنترل فایل، اجرای فایل های از نوع JavaScript یا VBScript را محدود می کنند. اما در این حالت با توجه به این که کد از طریق فرمان مجاز Regsvr32 اجرا می شود هیچ محدودیتی بر روی آن اعمال نمی گردد.
علاوه بر آن در حالت عادی برای ثبت یک فایل DLL لازم است که فرمان Regsvr32 با حق دسترسی مدیر سیستم اجرا شود. اما برای اجرای کدهای JavaScript یا VBScript با استفاده از این فرمان نیاز به حق دسترسی Administrator نبوده و با سطح دسترسی یک کاربر عادی نیز می توان آن را اجرا کرد.
در مستندات مایکروسافت به امکان اجرای یک اسکریپت میزبانی شده بر روی اینترنت از طریق فرمان Regsvr32 اشاره ای نشده است. یکی از روش های پیشرفته ویروس نویسان حرفه ای در طی یک سال گذشته استفاده از روشی موسوم به Fileless بوده که در آن با بهره گیری از فایل مجاز Windows PowerShell بدافزار از اینترنت دریافت و بر روی دستگاه قربانی اجرا می شود.
این بررسی نشان می دهد که نفوذگران می توانند از فایل Regsvr32 نیز به روشی مشابه استفاده کنند. شناسایی و کشف بدافزارهای از نوع Fileless بسیار دشوارتر از گونه های معمول بدافزارها می باشد.
مشخص نیست که مایکروسافت این اشکال را بهمراه اصلاحیه های ماهانه خود ترمیم خواهد نمود و یا در موعدی زودتر اصلاحیه ای اضطراری بر آن عرضه خواهد کرد.