写真提供:マイナビニュース

写真拡大

fossBytesに5月7日(米国時間)に掲載された記事「This Single Command Can Hack Your Windows AppLocker In Seconds」が、WindowsのAppLocker機能を回避して任意のコードを実行するコマンドのサンプルを伝えた。これは研究者によって発見されたもので、「regsvr32 /s /n /u /i: scrobj.dll」というコマンドを実行することで任意のコードが実行可能だとされている。

AppLocker機能の利用により、特定のアプリケーション以外の実行を防止することができるが、2016年4月末ごろからRegsvr32を使うとこの防止機能を回避して任意のコードが実行できると複数の情報セキュリティ系のメディアで報道されるようになった。今回、fossBytesに掲載された記事はこれまで報道されていた内容をより簡単に確認できる内容になっている。

記事では研究者が公開したデモンストレーション動画を掲載し、cmd.exeを実行するコードを含んだJavaScriptコードをダウンロードして、regsvr32コマンド経由でcmd.exeコマンドが実行される様子を伝えている。この挙動を脆弱性と位置づけるか、機能として位置づけるか、Microsoftから公式な発表は行われておらず、今後の定期アップデートで修正パッチが提供されるかどうかは不透明な状況。今後のMicrosoftの動向に注目したい。

(後藤大地)