A segurança do Windows sempre foi um tema complicado de gerir e que acaba sempre por trazer algo de novo. Nem sempre com os resultados desejados, sendo expostas novas falhas e novos problemas.
Uma nova falha de segurança veio agora colocar a nu um novo problema. Qualquer aplicação pode ser corrida, sendo contornado o AppLocker.
O AppLocker é a resposta da Microsoft para conseguir controlar as aplicações que estão autorizadas a correr no Windows, garantindo que apenas as que têm as devidas autorizações podem ser executadas.
Mas o AppLocker tem uma falha que está a deixar o Windows exposto a problemas. O AppLocker permite que a aplicação Regsvr32.exe, nativa do Windows, possa ser executada sem limites. O Regsvr32.exe é também ele uma peça fundamentar do Windows, garantindo o registo de DLLs e controlos ActiveX no sistema.
O que não se sabia é que o Regsvr32.exe pode ser chamado remotamente e executar scripts que estão remotos. Para além de o fazer, o Regsvr32.exe não deixa qualquer registo no sistema e nem requer permissões de administrador para o fazer. Na verdade para o Windows este é apenas tráfego normal do Internet Explorer.
A falha foi descoberta por Casey Smith, um investigador de segurança, que colocou no GitHub as suas conclusões e alguns scripts que provam a sua descoberta. Vários outros investigadores já testaram a falha e confirmam que esta é real e potencialmente perigosa.
A mais recente actualização de segurança da Microsoft, lançada na passada semana, não inclui qualquer resolução para este problema e neste momento não existe uma solução oficial. Os conselhos que estão a ser dados baseiam-se no bloqueio do Regsvr32.exe na firewall do Windows, mas isso tem outras implicações para o sistema operativo.
Esta é mais uma falha grave que foi descoberta no Windows e que o deixa exposto a ataques, colocando os utilizadores e os seus dados expostos a ransomware e outros perigos.