Новость опубликована в сети Кейси Смит, исследователем безопасности из Колорадо (США), который поднял тревогу, обнаружив нарушение безопасности в Последовательные бизнес-выпуски Windows 7 этой операционной системы (также Windows 10), в частности, с Функция AppLocker.
AppLocker - это новая функция, которая введено в Windows 7 и Windows Server 2008 R2 что позволяет администраторам указывать какие пользователи или группы могут запускать приложения в организации на основе уникальных идентификаторов файлов. Используя эту функцию, вы можете создать ряд правил, которые разрешают или запрещают пользователям выполнение приложений. Функция, аналогичная спискам ACL Linux, но с несколько иным механизмом выполнения. regsvr32, утилита командной строки, которая может использоваться для регистрации и прерывания DLL., позволяет изменять системный реестр без каких-либо разрешений или привилегий выполнения, как заявил Смит в своем блоге. Как вы отметили, для многих администраторов это может затруднить определение того, вносятся ли в систему изменения или нет.
Этот недостаток безопасности поэтому позволяет запускать вредоносное программное обеспечение на тех компьютерах, которые подвержены риску, даже если установлен AppLocker, принципом которого является безопасность. Более того, не требует доступа администратора или изменения системного реестра, поэтому ко всему этому добавляется, что трудно отследить. Эта уязвимость была обнаружена на прошлой неделе и еще не исправлена самой Microsoft. На данный момент автор новости только написал о своем открытии и опубликовал сценарий, подтверждающий его утверждение.
В то время как Microsoft запускает некоторые меры по исправлению этого недостатка в своей системе, Кейси Смит указал, что можно отключить Regsvr32.exe и Regsvr64.exe через брандмауэр самой операционной системы.