Dit kan worden gedaan door misbruik te maken van Regsvr32.exe (en Regsvr64.exe). Smith meldt in een blogpost dat Regsvr32 overweg kan met proxies, TLS-redirects en meer en dat daarom met een simpel commando een script kan worden uitgevoerd dat zich niet hoeft te bevinden op de computer zelf.

De onderzoeker heeft meerdere proof of concepts geplaatst op Github en uitgelegd hoe de kwetsbaarheid kan worden misbruikt. Smith grapt hierbij dat het commando voor het misbruiken zo simpel is dat deze makkelijk past in een tweet.

Geen registeraanpassingen of privileges vereist

Het lastige van deze kwetsbaarheid is dat Regsvr32.exe door Windows wordt gezien als een essentiele systeemfunctie waardoor deze zonder aanpassingen aan het systeem kan worden misbruikt. Ook zijn er geen speciale (admin)privileges nodig.

"Het monitoren van het register zal niet effectief zijn. Het probleem is de un-sandboxed feature en het de netwerkfunctionaliteit. Hierdoor kan het zowel lokale als externe URL's accepteren," aldus Eric Rand van Brown Hat Security. Er is op dit moment nog geen patch voorhanden.

Op de volgende pagina: "detectie" en Workarounds

Er mag op dit moment dan geen patch aanwezig zijn, er zijn wel enkele workarounds waarmee het probleem tijdelijk kan worden opgelost.

Gebruik de Windows Firewall om de volgende bestanden te blokkeren: %systemroot%\System32\regsvr32.exe en %systemroot%\SysWoW64\regsvr32.exe

Het is dan in elk geval niet meer mogelijk bestanden of scripts, die buiten het netwerk worden gehost, aan te roepen. Mocht je willen chekcen of er al misbruik is gemaakt van dit lek, kijk dan in de map tijdelijke internet bestanden (c:\users\USER\appdata\local\microsoft\windows\temporary internet files\content.ie5\) en check of je daar vreemde scripts of executables aantreft.

Ook is het handig om .sct-bestanden te blokkeren op je mailserver. Zo zorg je ervoor dat phishers niet alsnog (lokaal) schade aan kunnen richten.

Windows 10

Een andere beveiligingsonderzoeker, Alex Lonescu, meldt verder in een tweet dat Windows 10 enterprise-gebruikers zich ook nog op een andere manier kunnen wapenen tegen deze kwetsbaarheid. De device guard moet dan volledig worden ingeschakeld inclusief script protection. Dit werkt alleen op enterprise-systemen met Hyper-V.