Regsvr32 Bisa Digunakan Hacker untuk Memotong AppLocker

malware_291722322390_640x360_0-100257169-primary.idge

Sebuah command-line utility penting Windows, yaitu Regsvr32 yang digunakan untuk mendaftar DLL pada Windows Registry dapat disalahgunakan untuk menjalankan kode secara remote dari internet, memotong akses perlindungan dari Microsoft AppLocker.

Regsvr32 juga dikenal sebagai Microsoft Register Server adalah Microsoft-signed binary yang berjalan secara default pada Windows. Bukti yang ditunjukkan oleh peneliti memungkinkan dirinya untuk men-download dan menjalankan JavaScript atau VBScript dari URL yang diberikan melalui baris perintah. Dengan menyalahgunakan situasi ini bisa dianggap penyerang bisa muncul kapan saja.

Masalahnya menjadi rumit karena Regsvr32 biasanya membutuhkan hak admin untuk menjalankannya agar dapat mendaftarkan objek COM (component object model) dan DLL pada sistem operasi. Menurut peneliti, hanya admin yang biasanya menjalankan ini. Namun dalam cara yang dilakukannya, ia dapat menjalankannya sebagai pengguna. Peneliti tersebut bisa memanggil metode yang tidak terdaftar dan mengeksekusi mereka sebagai user biasa.

Dokumentasi Regsvr32 tidak menunjukkan bahwa Regsvr32 akan menerima skrip dari Internet. Serangan malware fileless baru-baru ini menggunakan Windows PowerShell untuk men-download malware dari internet dan tampaknya masalah ini bisa disalahgunakan dengan cara yang sama. Peneliti mengatakan bahwa serangan dengan menggunakan metode ini akan sulit untuk dideteksi.

Semoga saja Microsoft dapat menambal kerentanan sesegera mungkin.

Sumber: Threatpost