Home News REGSVR32 può esser usato per installare ransomware!

REGSVR32 può esser usato per installare ransomware!

da Alvise C.
0 commenti 2 minutes Leggi
A+A-
Reset
Non ci crederete, forse, ma non avete letto male: è stato scoperto una vulnerabilità che sfrutta il  comando REGSVR32 (comando molto utilizzato da sistemisti e non) e permette di eseguire script da un URL remoto. 

binary 823336 1280
Il metodo consiste nel creare un file XML che contiene codice JScript o VBscript che verrà eseguito al lancio dello script da parte di regsvr32. La scoperta è stata fatta da Casey Smith il quale ne parla in un articolo dedicato nel suo blog: 

subTee: Bypass Application Whitelisting Script Protections – Regsvr32.exe & COM Scriptlets (.sct files)

Questo metodo può esser utilizzato per eseguire software malevolo nel nostro pc, ma vi è una soluzione preventiva, ovvero creare una regola ad hoc in Windows Firewall. 

Per semplificare la cosa, vi illustro la procedura:

WIN + X > prompt dei comandi (come amministratore) > digitare ora

sistemi a 32 bit
netsh advfirewall firewall add rule name=”Block regsvr32″ dir=out action=block program=”C:WindowsSysWOW64regsvr32.exe” enable=yes
sistemi a 64 bit

netsh advfirewall firewall add rule name=”Block regsvr32(x64)” dir=out action=block program=”C:Windowsregsvr32.exe” enable=yes
Questo, ovviamente, nel caso che usiamo Windows Firewall, altrimenti dovremmo creare una regola ad hoc nel nostro firewall di terze parti e bloccare l’accesso ad internet da parte del comando REGSVR32
Il sito BleepingComputer fornisce un video esauriente in merito all’argomento:

Non perdere questi contenuti:

Lascia un commento

Angolo di Windows Logo

Punto di riferimento per il mondo Windows con articoli e guide letti ogni giorno, ci trovi anche nella MS Community con gli articoli WIKI del Microsoft MVP (dal 2011 al 2020) Alvise C.

 

Contact us: [email protected]

Questo blog non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità.
Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n° 62 del 7.03.2001.
L’autore del blog non è responsabile del contenuto dei commenti ai post, nè del contenuto dei siti linkati.
Alcuni testi o immagini inseriti in questo blog sono tratti da internet e, pertanto, considerati di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d’autore, vogliate comunicarlo via email a [email protected] e saranno immediatamente rimossi.