Microsoft постепенно отказывается от инструмента Windows Management Instrumentation Command-line (WMIC), позволяющего выполнить WMI-сценарий в командной строке. В последних на данный момент предварительных сборках Windows 11 разработчики избавились от wmic.exe.
С помощью WMIC системные администраторы могли отправлять операционной системе запросы на предоставление подробной информации об аппаратной составляющей и настройках Windows. Помимо этого, встроенная Microsoft программа позволяла запускать задания и даже выполнять отдельные приложения или команды.
В прошлом году корпорация из Редмонда сообщила, что wmic.exe постепенно будет входить в ряд устаревшего софта, а его место полностью займёт Windows PowerShell. Тогда речь шла о подобных нововедениях в ОС Windows Server.
Теперь отдельные исследователи сообщают об удалении WMIC из Windows-клиентов, начиная с предварительны билдов Windows 11, которые в настоящий момент опубликованы в канале для разработчиков.
Стоит отметить, что киберпреступники часто использовали WMIC в реальных атаках. Эта программа принадлежит к классу LoLBins — исполняемым файлам, подписанным Microsoft и помогающим злоумышленникам избежать детектирования при выполнении вредоносных операций.
Например, операторы программы-вымогателя часто использовали команду WMIC для удаления теневых копий, чтобы жертвы точно не смогли восстановить зашифрованные файлы. С удалением WMIC часть таких векторов кибератак просто отпадёт, поэтому нельзя не признать, что Microsoft движется в правильном направлении.
