Une vulnérabilité jour zéro permet de contourner la protection AppLocker de Windows

Microsoft a introduit AppLocker depuis Windows 7 et Windows Server 2008 R2 pour permettre aux entreprises de définir des règles limitant l’utilisation de fichiers exécutables, de script, d’installation, et de DLL considérés comme dangereux.

Casey Smith, un chercheur américain, vient de publier des preuves de concept de l’exploitation d’une faille de sécurité jour zéro du programme regsvr32.exe, l’éditeur du registre de Windows.

Elle contourne AppLocker en permettant d’exécuter n’importe quel fichier, y compris des fichiers téléchargés sur des sites Web.

Regsvr32 accepte en effet des URL en guise de script, ce qu’on ne savait pas jusqu’ici.

Le danger est d’autant plus grand que la vulnérabilité ne nécessite pas d’accès privilégié (administrateur), et ne laisse pas de trace dans le registre.

Plusieurs chercheurs ont confirmé depuis la vulnérabilité.

En attendant un correctif de sécurité de Microsoft, seules protections sont connues :

– Bloquer les accès réseau de Regsvr32.exe avec le pare-feu de Windows ;

– Utiliser Device Guard, une nouvelle technologie de Windows 10, mais qui nécessite Windows 10 entreprise et Hyper-V.

 

Ce genre de divulgation est considéré comme contraire à l’éthique, car il met en danger immédiatement des centaines de millions d’utilisateurs.

Normalement, un chercheur prévient en secret l’éditeur de logiciel concerné, et lui donne un délai pour développer un correctif avant de dévoiler la trouvaille de la faille de sécurité.