Sécurité : Un chercheur en sécurité a découvert une faille de sécurité affectant Windows. Celle-ci permet notamment de contourner les protections offertes par l’utilitaire AppLocker et d’exécuter une application potentiellement malveillante sur la machine.



AppLocker est un utilitaire mis en place sur Windows depuis Windows 7. Celui-ci permet notamment de verrouiller un poste de travail afin de créer des règles spécifiques d’exécution des applications. La fonctionnalité est notamment pour protéger des postes en entreprise et limiter les possibilités de l’utilisateur sur la machine. Mais le chercheur Casey Smith a découvert un moyen de contourner cette protection depuis une machine distante, ce qui ouvre une vulnérabilité au sein des appareils ayant recours à cette méthode.


Sur son blog, Casey Smith explique qu’il cherchait à obtenir un reverse shell sur une machine verrouillée via AppLocker. Un reverse shell est une méthode comparable à un shell, mais la machine cible est celle qui envoie les commandes au terminal ouvert sur la machine de l’attaquant, avant d’obtenir les résultats. Cette méthode est souvent utilisée pour contourner les pare-feu, généralement moins restrictifs sur le trafic sortant que sur le trafic entrant.


La méthode découverte par Casey Smith exploite une faille au sein de l’outil RegSVR32. Celui-ci peut en effet accepter un script au lieu d’une URL dans une de ses commandes. RegSVR32 est un utilitaire en ligne de commande permettant de gérer l’inscription et la désinscription des DLL et contrôles ActiveX dans le registre Windows. Via une commande d’une cinquantaine de caractères, le chercheur est parvenu ainsi à forcer l’exécution d’un script sur la machine cible.


Cette manipulation permet ainsi de contourner le système de liste blanche d’application mis en place grâce à AppLocker et d’exécuter une application non validée. La manipulation ne requiert pas d’authentification de la part de l’attaquant et permet ainsi à un utilisateur d’installer une application sans avoir besoin des droits d’administration. Microsoft n’a pas encore communiqué sur un éventuel correctif venant combler cette faille. La solution la plus simple à l’heure actuelle semble être de bloquer l’accès au réseau de RegSVR32.