Non ci crederete, forse, ma non avete letto male: è stato scoperto una vulnerabilità che sfrutta il comando REGSVR32 (comando molto utilizzato da sistemisti e non) e permette di eseguire script da un URL remoto.
Il metodo consiste nel creare un file XML che contiene codice JScript o VBscript che verrà eseguito al lancio dello script da parte di regsvr32. La scoperta è stata fatta da Casey Smith il quale ne parla in un articolo dedicato nel suo blog:
Questo metodo può esser utilizzato per eseguire software malevolo nel nostro pc, ma vi è una soluzione preventiva, ovvero creare una regola ad hoc in Windows Firewall.
Per semplificare la cosa, vi illustro la procedura:
WIN + X > prompt dei comandi (come amministratore) > digitare ora
sistemi a 32 bit
netsh advfirewall firewall add rule name=”Block regsvr32″ dir=out action=block program=”C:WindowsSysWOW64regsvr32.exe” enable=yes
sistemi a 64 bit
netsh advfirewall firewall add rule name=”Block regsvr32(x64)” dir=out action=block program=”C:Windowsregsvr32.exe” enable=yes
Questo, ovviamente, nel caso che usiamo Windows Firewall, altrimenti dovremmo creare una regola ad hoc nel nostro firewall di terze parti e bloccare l’accesso ad internet da parte del comando REGSVR32
Il sito BleepingComputer fornisce un video esauriente in merito all’argomento: