REGSVR32 può esser usato per installare ransomware!

Non ci crederete, forse, ma non avete letto male: è stato scoperto una vulnerabilità che sfrutta il  comando REGSVR32 (comando molto utilizzato da sistemisti e non) e permette di eseguire script da un URL remoto. 

Il metodo consiste nel creare un file XML che contiene codice JScript o VBscript che verrà eseguito al lancio dello script da parte di regsvr32. La scoperta è stata fatta da Casey Smith il quale ne parla in un articolo dedicato nel suo blog: 

subTee: Bypass Application Whitelisting Script Protections – Regsvr32.exe & COM Scriptlets (.sct files)

Questo metodo può esser utilizzato per eseguire software malevolo nel nostro pc, ma vi è una soluzione preventiva, ovvero creare una regola ad hoc in Windows Firewall. 

Per semplificare la cosa, vi illustro la procedura:

WIN + X > prompt dei comandi (come amministratore) > digitare ora

sistemi a 32 bit
netsh advfirewall firewall add rule name=”Block regsvr32″ dir=out action=block program=”C:WindowsSysWOW64regsvr32.exe” enable=yes
sistemi a 64 bit

netsh advfirewall firewall add rule name=”Block regsvr32(x64)” dir=out action=block program=”C:Windowsregsvr32.exe” enable=yes
Questo, ovviamente, nel caso che usiamo Windows Firewall, altrimenti dovremmo creare una regola ad hoc nel nostro firewall di terze parti e bloccare l’accesso ad internet da parte del comando REGSVR32
Il sito BleepingComputer fornisce un video esauriente in merito all’argomento:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *