Un fallo de seguridad de Windows permite ejecutar aplicaciones sin permisos

  • Investigador alerta sobre un fallo de seguridad en Windows 7 y 10.
  • La vulnerabilidad afecta a la funciĆ³n AppLocker y permite ejecutar software malicioso.
  • No se requiere acceso de administrador para explotar esta falla de seguridad.
  • Se recomienda desactivar Regsvr32.exe y Regsvr64.exe usando el firewall.
Conchi Sicilia

2 minutos

windows

La noticia se publica a travĆ©s de la web de la mano deĀ Casey Smith, unĀ investigador de seguridad deĀ Colorado (USA), quien ha dado la voz de alarma al decubrirĀ unĀ fallo de seguridad en las ediciones empresariales de Windows 7 sucesivas de este sistema operativo (tambiĆ©n Windows 10), concretamente, con la funciĆ³n AppLocker.

AppLocker es una funciĆ³n nueva que se introdujo en Windows 7 y Windows Server 2008 R2 que permite a los administradores especificar quĆ© usuarios o grupos pueden ejecutar aplicaciones en una organizaciĆ³n, basĆ”ndoseĀ en identidades Ćŗnicas de archivos. Al utilizar la caracterĆ­stica se pueden crear una serie de reglas con las que se permite o deniega la ejecuciĆ³n de las aplicaciones a los usuario. Una funciĆ³n parecida a las listas de ACL de Linux pero con un mecanismo de ejecuciĆ³n algo distinto.Por otra parte la aplicaciĆ³n regsvr32, unaĀ utilidad de lĆ­nea de comandos que se puede utilizar para registrar y anular DLLs, permite alterar el registro del sistema sin que para ello se requiera permiso alguno o privilegios de ejecuciĆ³n, segĆŗn ha afirmado Smith a travĆ©s de su blog. Tal y como indica, esto puede implicar queĀ para muchos administradores seaĀ difĆ­cil encontrar si los cambios se realizan o no en el sistema.

Este fallo de seguridad permite por tanto ejecutar software maliciosoĀ enĀ aquellos equipos que se encuentren en peligro, incluso si estĆ” instalado AppLocker, una caracterĆ­stica cuyo principio esĀ la seguridad. AdemĆ”s, no requiere acceso de administrador o alterar el registro del sistema, por lo que a todo ello se suma que es difĆ­cil de rastrear. Esta vulnerabilidad fue descubierta la semana pasada y de momento no ha sido corregida por la propia Microsoft. De momento el autor de la noticia sĆ³lo ha escrito sobre su descubrimientoĀ y ha publicado la secuencia de comandos queĀ pruebaĀ su afirmaciĆ³n.

Mientras Microsoft lanza alguna medida que corrija esta deficiencia de su sistema,Ā Casey Smith ha indicadoĀ que es posible desactivar Regsvr32.exe y Regsvr64.exe utilizando el firewall del propio sistema operativo.