fossBytesに4月25日(米国時間)に掲載された記事「Windows Security Flaw Lets Hackers Run Any App On PCs Without Admin Rights」が、先週発見されたWindowsの脆弱性「Regsvr32」を悪用することでAppLockerを回避することができ、管理者権限がなくとても任意のアプリケーションを実行することができると伝えた。
WindowsのAppLocker機能を利用することでユーザーに対してアプリケーションの実行をブラックリストおよびホワイトリスト方式で制限することができる。この機能により、ユーザーが任意のアプリケーションをインストールすることを防止でき、マルウェアへの感染などを防止する機能として利用できる。先週、Regsvr32を経由してリモートのJavaScriptコードを取得するとAppLockerのチェック処理を回避してコードの実行が可能であることが判明したが、この機能を悪用して任意のアプリケーションをRegsvr32経由で実行することが可能であることがわかった。
Regsvr32のこの機能が脆弱性になると指摘されているが、現在のところ、この件に関してMicrosoftから発表はなく、今後のアップデートで修正が実施されるかは不透明。Microsoftの今後の発表に注目するとともに、アップデートの提供が始まった場合は迅速にアップデートを適用することが望まれる。