Cómo evitar infectarnos de malware a través de la vulnerabilidad Regsvr32 de Windows

Share this…

Regsvr32 es un componente de Windows que permite descargar e instalar librerías de forma remota y ejecutar scripts de configuración. Debido a su pésima documentación y programación interna, este componente es capaz de evadir absolutamente todas las demás medidas de seguridad del sistema operativo, permitiendo a cualquier usuario, autorizado o no, descargar librerías maliciosas en el sistema e incluso ejecutar incluso scripts JS o VB que se conecten a un segundo servidor desde el que descargar otras piezas de malware.

Ni Windows ni AppLocker son capaces de bloquear este tipo de ataques los cuales, además pueden llegar de forma totalmente oculta como tráfico HTTPS. Recientemente, varios piratas informáticos han empezado a explotar esta vulnerabilidad de Windows y empezar incluso a distribuir malware (el peligroso ransomware, por ejemplo) utilizando esta técnica, infectando así al usuario y no dejando el más mínimo rastro.

Cómo protegernos de la vulnerabilidad Regsvr32 utilizando tan solo el Firewall de Windows

Mientras que estos ataques informáticos se están intensificando, debido a que para llevarse a cabo es necesario que se establezca una conexión remota a una URL o un servidor externo, es posible protegerse de ellos mediante la creación de reglas especiales en nuestro firewall para dicho fin.

Para ello, debemos abrir la configuración avanzada de nuestro Firewall, (por ejemplo, del de Windows) y crear una nueva regla de salida. Para ello, en la parte inferior del apartado central pulsamos sobre “Reglas de salida” y, a continuación, en la derecha sobre “Nueva regla“.

Firewall de Windows - Bloquear Regsvr32

Veremos un nuevo asistente. Lo primero que haremos será especificarle que la regla va a ser para un programa concreto.

Firewall de Windows - Bloquear Regsvr32 - Bloquear programa

En la ventana siguiente especificamos la ruta de acceso al programa. En este caso, como queremos controlar la ejecución de Regsvr32, en el cuadro de texto que aparece introducimos:

  • C:\Windows\System32\regsvr32.exe

Firewall de Windows - Bloquear Regsvr32 - Bloqueado

Ahora, en la siguiente ventana elegimos “Bloquear la conexión“, para impedir que este programa pueda conectarse a Internet.

Firewall de Windows - Bloquear Regsvr32 - Bloquear conexión

Seguimos con el asistente y le indicamos que la regla sea válida para dominios, redes privadas y redes públicas.

Firewall de Windows - Bloquear Regsvr32 - Redes en las que bloquear conexión

Continuamos y lo único que nos queda por hacer es dar un nombre a dicha regla.

Firewall de Windows - Bloquear Regsvr32 - Resumen 1

Una vez finalice el asistente, la regla estará creada.

Por último, creamos una nueva regla repitiendo de nuevo todo el proceso, pero, esta vez, en vez de utilizar la ruta al archivo de la ruta al programa “C:\Windows\System32\regsvr32.exe” utilizaremos:

  • C:\Windows\SysWOW64\regsvr32.exe

Firewall de Windows - Bloquear Regsvr32 - Resumen 2

Ahora sí, hemos finalizado. A partir de este momento, esta aplicación será incapaz de conectarse a Internet, por lo que ningún pirata informático podrá comunicarse con ella ni utilizarla para infectar de malware nuestro ordenador. En caso de utilizar otro Firewall debemos crear la regla en él, ya que, probablemente, el de Windows estará desactivado.

Por último, si no queremos realizar todo este proceso a mano, podemos utilizar el siguiente script, alojado en GitHub que, ejecutado como administrador, creará automáticamente ambas reglas en el cortafuegos.

Fuente:https://www.redeszone.net/