+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

Эксперты по кибербезопасности обнаружили способ обходить белые списки авторизованных приложений Windows и осуществлять запуск произвольного неподписанного кода.

Эксперты по кибербезопасности обнаружили способ обходить белые списки авторизованных приложений Windows и осуществлять запуск произвольного неподписанного кода.

Эксперт по кибербезопасности Мэтт Грэбнер (Matt Graebner) обнаружил довольно элегантный способ обходить «белые списки» авторизованных приложений Windows и осуществлять запуск произвольного неподписанного кода.

Согласно описанию, которое приводит Грэбнер, используемый в Windows скрипт winrm.vbs (располагается в папке System32) способен обрабатывать и запускать «контролируемый злоумышленником XSL», который не подпадает под ограничения enlightened script host, что позволяет запускать произвольный код.

«Если снабдить winrm.vbs параметрами “-format:pretty” или “-format:text”, он вызывает WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe, — пишет исследователь. — Это означает, что если злоумышленник скопирует cscript.exe в область, находящуюся под его контролем и в которой располагается его вредоносный XSL, ему удастся добиться запуска произвольного кода. По факту эта проблема практически идентична методу Кейси Смита (Kasey Smith) с использованием wmic.exe».

Отметим, что коллега Грэбнера Кэйси Смит в апреле 2018 г. описал метод использования файла wmic.exe для обхода «белых списков». Грэбнер принимал непосредственное участие и в исследовании Смита. Специалисты по информационной безопасности Microsoft вскоре после этого внесли необходимые изменения в Windows Defender.

По словам самого исследователя, метод обхода был обнаружен почти случайно: после совместного со Смитом проекта Грэбнер занялся аудитом других встроенных в Windows файлов VBS и JScript на предмет дополнительных возможностей обхода механизмов безопасности операционной системы.

Грэбнер указывает, что не существует надежных способов блокировать угрозу иначе как посредством активации принудительной проверки целостности кода в пользовательском режиме (User Mode Code Integrity) в модуле контроля приложений Windows Defender (WDAC). Однако, по словам Грэбнера, большинство организаций не использует WDAC.

В любом случае, пишет исследователь, присутствие на диске неподписанных WsmPty.xsl и WsmTxt.xsl должно немедленно вызывать подозрения.

Другие новости