安全研究人員發現，通過使用Windows命令行使用程序(可追溯到Windows XP)，基于Windows AppLocker的應用白名單保護可以被繞過。當結合托管在遠程主機上的腳本時，這個漏洞可允許攻擊者運行不在Windows AppLocker白名單中的軟件。

根據微軟表示，這個使用程序Regsvr32主要用于“注冊和注銷OLE(對象鏈接和嵌入)空間，例如(動態鏈接庫)以及Windows注冊表中的ActiveX控制。”但研究人員Casey Smith報道稱，該命令可指向一個URL，而不是本地腳本;在該URL托管的腳本將會執行，繞過Windows AppLocker白名單限制。

“令人驚奇的是，Regsvr32已經是代理服務器感知，使用傳輸層安全，遵循重定向等，”Smith寫道，并指出該使用程序還是“一個簽名的默認MS二進制”，這意味著利用該漏洞可簡化任何攻擊。

RSA公司營銷總監Robert Sadowski表示：“這項技術在熟練的攻擊者手里可能很危險。”

“攻擊者將需要訪問受害者的機器，但不需要具有管理員權限，”Sadowski表示，“他們能夠運行被阻止的腳本，而這本應被AppLocker的腳本阻止功能所阻攔。”

Smith的概念證明腳本表明這種攻擊具有破壞的潛力，Sadowski稱這可用于網絡釣魚或路過式漏洞利用。他表示：“而且這種攻擊難以檢測;它直接通過內置Windows命令來執行，唯一的蹤跡是IE瀏覽器中一個緩存文件，Windows注冊表中沒有任何蹤跡。”

自動威脅管理供應商Vectra公司首席安全官Gunter Ollmann表示：“Windows AppLocker繞過攻擊是傳統代碼和向后兼容功能被攻擊者利用以攻擊較新的安全措施的一個較為有趣的例子。”

Ollmann稱：“對于任何經驗豐富的系統管理員而言，類似這樣的繞過攻擊出現在任何基于主機的攔截技術中并不奇怪。這個被遺忘的MS-DOS命令行功能和注冊表操縱一直是安全人員的噩夢。”

“如果你有安裝Windows AppLocker來阻止入侵或惡意軟件感染，這可能是非常危險的漏洞，如果沒有得到修復，這會帶來很大的風險，”托管安全服務提供商Rook Security公司安全工程師兼取證分析師Daniel Ford表示，“對應用采用白名單技術并阻止其他未經授權應用是很多企業采用的保護措施。如果你安裝了Windows AppLocker來抵御惡意軟件滲出數據，那么這個漏洞可被用來繞過這種保護。”

Ford建議不要依靠Windows AppLocker，“請確保部署多層安全措施，例如更新的防病毒、IDS/IPS(入侵檢測系統/入侵防御系統)、防火墻和其他安全工具。當這個漏洞的補丁推出時，最好馬上安裝它。”

現在保護環境的最簡單方法是在防火墻級別阻止Regsvr32，拒絕它訪問互聯網。