Casey Smith, un investigador de seguridad en Colorado, ha dado la voz de alerta descubriendo un fallo de seguridad en torno a las ediciones empresariales de Windows 7 en adelante con la función AppLocker. Al parecer, la línea de comando Regsvr32 deja abierta una puerta para ejecutar remotamente una aplicación en el sistema.
AppLocker es una característica introducida en Windows 7 y Windows Server 2008 R2 que permite a los administradores especificar qué usuarios o grupos pueden ejecutar aplicaciones en una organización basada en identidades únicas de archivos. Al utilizar la característica se pueden crear una serie de reglas con las que se permite o deniega la ejecución de las aplicaciones a los usuarios.
Por su parte, Regsvr32 es una utilidad de línea de comandos que se puede utilizar para registrar y anular DLLs. Tal y como explica Smith, haciendo uso de la misma no se altera el registro del sistema (no requiere privilegios), razón por la que será difícil para los administradores encontrar si los cambios se realizan en el sistema.
Por tanto se trata de un fallo de seguridad que expone a los equipos al peligro de ejecutar software malicioso incluso si está instalado AppLocker, una característica cuyo principio era la seguridad. Además, no requiere acceso de administrador o alterar el registro del sistema, por lo que a todo ello se suma que es difícil de rastrear. Una vulnerabilidad que fue descubierta la semana pasada, momento en el que Casey Smith escribió sobre el descubrimiento y publicó la secuencia de comandos de prueba para demostrarlo en GigHub.
En estos momentos Microsoft todavía no ha publicado un parche para solucionar el problema, sin embargo Casey Smith apunta que es posible desactivar Regsvr32.exe y Regsvr64.exe utilizando el Firewall.
