Exploit zet Windowsbeveiliging AppLocker met de billen bloot
Zakelijke versies van Windows kunnen al enkele jaren beroep doen op AppLocker om bedenkelijke programma’s buiten te houden. Het beveiligingsprogramma laat je toe om programma’s op een black- of whitelist te zetten. Onderzoekers hebben echter een kwetsbaarheid ontdekt waardoor het waakzame oog van AppLocker om de tuin te leiden is.
Een eenvoudige commando is genoeg om software die buiten de whitelist van je pc valt toch te injecteren op het systeem. Als je Regsvr32, een onderdeel van het OS, vraagt om een bepaald bestand op te halen, is het mogelijk om hier ook een externe URL van te maken. Die truc gaat voorbij aan de veiligheidsmaatregelen van een programma als AppLocker en maakt het mogelijk om dubieuze software binnen te halen. Bovendien heeft een hacker ook geen administratorrechten nodig om het stukje code uit te voeren, en blijven er nadien geen sporen van achter in de registry.
Microsoft heeft nog niet gereageerd op de onthulling van het lek. Het is niet duidelijk wanneer er een officiële patch van het probleem beschikbaar zal zijn, maar er zijn al voorstellen voor tijdelijke oplossingen opgedoken. Eén veiligheidsexpert stelt voor om Regsvr32 te laten blokkeren door de firewall, zodat het geen externe software kan ophalen.
