Regsvr32 es un componente de Windows que permite descargar e instalar librerías de forma remota y ejecutar scripts de configuración. Debido a su pésima documentación y programación interna, este componente es capaz de evadir absolutamente todas las demás medidas de seguridad del sistema operativo, permitiendo a cualquier usuario, autorizado o no, descargar librerías maliciosas en el sistema e incluso ejecutar incluso scripts JS o VB que se conecten a un segundo servidor desde el que descargar otras piezas de malware.
Ni Windows ni AppLocker son capaces de bloquear este tipo de ataques los cuales, además pueden llegar de forma totalmente oculta como tráfico HTTPS. Recientemente, varios piratas informáticos han empezado a explotar esta vulnerabilidad de Windows y empezar incluso a distribuir malware (el peligroso ransomware, por ejemplo) utilizando esta técnica, infectando así al usuario y no dejando el más mínimo rastro.
Cómo protegernos de la vulnerabilidad Regsvr32 utilizando tan solo el Firewall de Windows
Mientras que estos ataques informáticos se están intensificando, debido a que para llevarse a cabo es necesario que se establezca una conexión remota a una URL o un servidor externo, es posible protegerse de ellos mediante la creación de reglas especiales en nuestro firewall para dicho fin.
Para ello, debemos abrir la configuración avanzada de nuestro Firewall, (por ejemplo, del de Windows) y crear una nueva regla de salida. Para ello, en la parte inferior del apartado central pulsamos sobre “Reglas de salida” y, a continuación, en la derecha sobre “Nueva regla“.
Veremos un nuevo asistente. Lo primero que haremos será especificarle que la regla va a ser para un programa concreto.
En la ventana siguiente especificamos la ruta de acceso al programa. En este caso, como queremos controlar la ejecución de Regsvr32, en el cuadro de texto que aparece introducimos:
- C:\Windows\System32\regsvr32.exe
Ahora, en la siguiente ventana elegimos “Bloquear la conexión“, para impedir que este programa pueda conectarse a Internet.
Seguimos con el asistente y le indicamos que la regla sea válida para dominios, redes privadas y redes públicas.
Continuamos y lo único que nos queda por hacer es dar un nombre a dicha regla.
Una vez finalice el asistente, la regla estará creada.
Por último, creamos una nueva regla repitiendo de nuevo todo el proceso, pero, esta vez, en vez de utilizar la ruta al archivo de la ruta al programa “C:\Windows\System32\regsvr32.exe” utilizaremos:
- C:\Windows\SysWOW64\regsvr32.exe
Ahora sí, hemos finalizado. A partir de este momento, esta aplicación será incapaz de conectarse a Internet, por lo que ningún pirata informático podrá comunicarse con ella ni utilizarla para infectar de malware nuestro ordenador. En caso de utilizar otro Firewall debemos crear la regla en él, ya que, probablemente, el de Windows estará desactivado.
Por último, si no queremos realizar todo este proceso a mano, podemos utilizar el siguiente script, alojado en GitHub que, ejecutado como administrador, creará automáticamente ambas reglas en el cortafuegos.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
