Cabecera-v2-web.jpg

Cómo evitar infectarnos de malware a través de la vulnerabilidad Regsvr32 de Windows


Regsvr32 es un componente de Windows que permite descargar e instalar librerí­as de forma remota y ejecutar scripts de configuración. Debido a su pésima documentación y programación interna, este componente es capaz de evadir absolutamente todas las demás medidas de seguridad del sistema operativo, permitiendo a cualquier usuario, autorizado o no, descargar librerí­as maliciosas en el sistema e incluso ejecutar incluso scripts JS o VB que se conecten a un segundo servidor desde el que descargar otras piezas de malware.

NI Windows ni AppLocker son capaces de bloquear este tipo de ataques los cuales, además pueden llegar de forma totalmente oculta como tráfico HTTPS. Recientemente, varios piratas informáticos han empezado a explotar esta vulnerabilidad de Windows y empezar incluso a distribuir malware (el peligroso ransomware, por ejemplo) utilizando esta técnica, infectando así­ al usuario y no dejando el más mí­nimo rastro.



Cómo protegernos de la vulnerabilidad Regsvr32 utilizando tan solo el Firewall de Windows

Mientras que estos ataques informáticos se están intensificando, debido a que para llevarse a cabo es necesario que se establezca una conexión remota a una URL o un servidor externo, es posible protegerse de ellos mediante la creación de reglas especiales en nuestro firewall para dicho fin.

Para ello, debemos abrir la configuración avanzada de nuestro Firewall, (por ejemplo, del de Windows) y crear una nueva regla de salida. Para ello, en la parte inferior del apartado central pulsamos sobre "Reglas de salida" y, a continuación, en la derecha sobre "Nueva regla".

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11