Por lo visto han detectado un fallo de seguridad bastante importante en las ediciones empresariales de Windows 7 en adelante, ha sido Casey Smith, un investigador de seguridad de Colorado, Estados Unidos, la persona que ha descubierto el fallo. La función AppLocker sería el problema, junto con el comando Regsvr32 se puede ejecutar un programa de forma remota en nuestro sistema.
Microsoft implementó la función AppLocker en Windows 7 y Windows Server 2008 R2 –versión empresarial–, aunque también está en las versiones más recientes de Windows. ¿Para qué sirve AppLocker?, es de gran ayuda a los administradores de equipos, ya que les facilita el trabajo, pueden asignar qué usuarios y grupos tienen permiso para ejecutar programas en una organización que utilice identidades únicas de archivos.
Dicho esto, con la ayuda del comando Regsvr32 se pueden registrar y anular archivos DLL. Según Casey Smith, al usar Regsvr32 no se altera el registro del sistema y por lo tanto no requiere privilegios. Esto último puede dificultar mucho la labor de los administradores a la hora de encontrar si alguien ha realizado cambios.
Así pues, con el comando con Regsvr32 los equipos pueden llegar a ejecutar software malicioso, aunque tengan activada la función AppLocker. Qué curioso, justamente AppLocker en un principio está pensado para mejorar la seguridad. Por cierto, no es necesario tener permisos como administrador para aprovecharse del fallo de seguridad.
La vulnerabilidad fue descubierta hace apenas unos días, Casey Smith ha hecho publico su hallazgo en GigHub, ahí podemos ver los comandos necesarios que demuestran el fallo de seguridad. Por ahora Microsoft no ha lanzado ninguna actualización para corregirlo. Mientras tanto, Casey Smith tiene una solución temporal, desactivar Regsvr32.exe y Regsvr64.exe utilizando el Firewall, de esta forma estaremos protegidos hasta que los de Redmond lo solucionen, esperemos que sea más pronto que tarde.
Fuente | The Next Web