Goodnews.ua


Найден способ взломать «белые списки» приложений Windows

Июль 18
16:09 2018

Найден способ обходить «белые списки» Windowsи запускать произвольный код с помощью встроенного скриптового файла. Описавший метод эксперт указывает, что надежных способов защититься от него очень мало.

Обойти белые списки с черного хода
Эксперт по кибербезопасности Мэтт Грэбнер (Matt Graebner) обнаружил довольно элегантный способ обходить «белые списки» авторизованных приложений Windows и осуществлять запуск произвольного неподписанного кода.
Согласно описанию, которое приводит Грэбнер, используемый в Windows скрипт winrm.vbs (располагается в папке System32) способен обрабатывать и запускать «контролируемый злоумышленником XSL», который не подпадает под ограничения enlightened script host, что позволяет запускать произвольный код.
«Если снабдить winrm.vbs параметрами “-format:pretty” или “-format:text”, он вызывает WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe, — пишет исследователь. — Это означает, что если злоумышленник скопирует cscript.exe в область, находящуюся под его контролем и в которой располагается его вредоносный XSL, ему удастся добиться запуска произвольного кода. По факту эта проблема практически идентична методу Кейси Смита (Kasey Smith) с использованием wmic.exe».

Отметим, что коллега Грэбнера Кэйси Смит в апреле 2018 г. описал метод использования файла wmic.exe для обхода «белых списков». Грэбнер принимал непосредственное участие и в исследовании Смита. Специалисты по информационной безопасности Microsoft вскоре после этого внесли необходимые изменения в Windows Defender.

Нечем крыть
По словам самого исследователя, метод обхода был обнаружен почти случайно: после совместного со Смитом проекта Грэбнер занялся аудитом других встроенных в Windows файлов VBS и JScript на предмет дополнительных возможностей обхода механизмов безопасности операционной системы.
Грэбнер указывает, что не существует надежных способов блокировать угрозу иначе как посредством активации принудительной проверки целостности кода в пользовательском режиме (User Mode Code Integrity) в модуле контроля приложений Windows Defender (WDAC). Однако, по словам Грэбнера, большинство организаций не использует WDAC.
В любом случае, пишет исследователь, присутствие на диске неподписанных WsmPty.xsl и WsmTxt.xsl должно немедленно вызывать подозрения.
«Интересный и отнюдь не очевидный метод, хотя и требующий определенных подготовительных действий, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — У злоумышленника должен быть хотя бы какой-то доступ к компьютеру и операционной системе, даже ограниченный (привилегии тут роли не играют). Реализация атаки удаленно зависит от того, существует ли вообще возможность записывать в систему какие-либо файлы».

Источник: cnews.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

Женская сборная Украины не сумела пробиться на Евро-2025

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua