Tin tức được Casey Smith, một nhà nghiên cứu bảo mật đến từ Colorado (Mỹ), đăng trên web, người đã lên tiếng báo động khi phát hiện ra một lỗ hổng bảo mật trong Các phiên bản Windows 7 dành cho doanh nghiệp kế tiếp của hệ điều hành này (cũng là Windows 10), đặc biệt, với Hàm AppLocker.
AppLocker là một tính năng mới được giới thiệu trong Windows 7 và Windows Server 2008 R2 cho phép quản trị viên chỉ định người dùng hoặc nhóm nào có thể chạy các ứng dụng trong một tổ chức, dựa trên danh tính tệp duy nhất. Bằng cách sử dụng tính năng này, bạn có thể tạo một loạt quy tắc cho phép hoặc từ chối người dùng thực thi ứng dụng. Một chức năng tương tự như danh sách ACL của Linux nhưng có cơ chế thực thi hơi khác. resvr32, một tiện ích dòng lệnh có thể được sử dụng để đăng ký và hủy bỏ các tệp DLL, cho phép thay đổi sổ đăng ký hệ thống mà không yêu cầu bất kỳ quyền hoặc đặc quyền thực thi nào, như Smith đã nêu thông qua blog của mình. Như bạn đã chỉ ra, điều này có thể gây khó khăn cho nhiều quản trị viên trong việc xác định xem hệ thống có thực hiện các thay đổi hay không.
Lỗ hổng bảo mật này do đó cho phép bạn chạy phần mềm độc hại trên những máy tính có nguy cơ, ngay cả khi AppLocker được cài đặt, một tính năng có nguyên tắc là bảo mật. Hơn nữa, không yêu cầu quyền truy cập của quản trị viên hoặc thay đổi sổ đăng ký hệ thống, vì vậy đối với tất cả điều này, nó được thêm vào thật khó để theo dõi. Lỗ hổng này đã được phát hiện vào tuần trước và vẫn chưa được chính Microsoft sửa chữa. Hiện tại, tác giả của tin tức chỉ viết về khám phá của mình và đã xuất bản kịch bản chứng minh tuyên bố của mình.
Trong khi Microsoft tung ra một số biện pháp để khắc phục sự thiếu hụt này trong hệ thống của mình, Casey Smith đã chỉ ra rằng có thể vô hiệu hóa Regsvr32.exe và Regsvr64.exe bằng cách sử dụng tường lửa của chính hệ điều hành.