Per anni gli amministratori di sistema hanno utilizzato la funzionalità AppLocker messa a disposizione nelle edizioni di Windows destinate al mondo dei professionisti e delle imprese per bloccare l’esecuzione di singoli programmi o di certe tipologie di applicazioni.
Casey Smith, un ricercatore autonomo, ha individuato un espediente che permette di eseguire applicazioni e comandi bloccati in Windows usando AppLocker.
Smith ha scoperto che basta ricorrere all’utilità di sistema Regsvr32, tipicamente utilizzata per registrare le librerie DLL.
Sfruttando Regsvr32 è possibile fare riferimento ad una qualunque risorsa remota, memorizzata su qualsiasi server, per far sì che un sistema soggetto a restrizioni esegua qualunque programma.
I dettagli tecnici sul lavoro di Smith sono reperibili a questo indirizzo.
L’autore della scoperta tiene però a precisare che quella in questione non è una vera e propria vulnerabilità (non è chiaro se e quando i tecnici Microsoft distribuiranno un aggiornamento in grado di mitigare il problema): “il tool Regsvr32 viene semplicemente utilizzato in una maniera non ortodossa“.
Inoltre, come spiega Smith, Regsvr32 di solito necessita dei diritti di amministratore per la registrazione delle librerie. Facendo riferimento ad una risorsa remota, invece, è possibile agire senza disporre di privilegi speciali.