Експерти з кібербезпеки виявили спосіб обходити білі списки авторизованих програм Windows і здійснювати запуск довільного непідписаного коду.
Експерти з кібербезпеки виявили спосіб обходити білі списки авторизованих програм Windows і здійснювати запуск довільного непідписаного коду.
Експерт з кібербезпеки Мет Гребнер (Matt Graebner) виявив досить елегантний спосіб обходити «білі списки» авторизованих додатків Windows і здійснювати запуск довільного непідписаного коду.
Згідно з описом, який наводить Гребнер, використовуваний у Windows скрипт winrm.vbs (розташовується в папці System32) здатний обробляти і запускати «контрольований зловмисником XSL», який не підпадає під обмеження enlightened script host, що дозволяє запускати довільний код.
>«Якщо забезпечити winrm.vbs параметрами “-format:pretty” або “-format:text”, він викликає WsmPty.xsl або WsmTxt.xsl з каталогу, в якому знаходиться cscript.exe, - пише дослідник. - Це означає, що якщо зловмисник скопіює cscript.exe в область, що знаходиться під його контролем і в якій знаходиться його шкідливий XSL, йому вдасться домогтися запуску довільного коду. За фактом, ця проблема практично ідентична методу Кейсі Сміта (Kasey Smith) з використанням wmic.exe».
Зазначимо, що колега Гребнера Кейсі Сміт у квітні 2018 р. описав метод використання файлу wmic.exe для обходу «білих списків». Гребнер брав безпосередню участь у дослідженні Сміта. Фахівці з інформаційної безпеки Microsoft незабаром внесли необхідні зміни до Windows Defender.
За словами самого дослідника, метод обходу був виявлений майже випадково: після спільного зі Смітом проекту Гребнер зайнявся аудитом інших вбудованих у Windows файлів VBS та JScript на предмет додаткових можливостей обходу механізмів безпеки операційної системи.Гребнер вказує, що не існує надійних способів блокувати загрозу інакше як за допомогою активації примусової перевірки цілісності коду в режимі користувача (User Mode Code Integrity) в модулі контролю додатків Windows Defender (WDAC). Однак, за словами Гребнера, більшість організацій не використовують WDAC.
У будь-якому випадку, пише дослідник, присутність на диску непідписаних WsmPty.xsl та WsmTxt.xsl має негайно викликати підозри.
