Найден способ обходить «белые списки» Windowsи запускать произвольный код с помощью встроенного скриптового файла. Описавший метод эксперт указывает, что надежных способов защититься от него очень мало.

Обойти белые списки с черного хода
Эксперт по кибербезопасности Мэтт Грэбнер (Matt Graebner) обнаружил довольно элегантный способ обходить «белые списки» авторизованных приложений Windows и осуществлять запуск произвольного неподписанного кода.
Согласно описанию, которое приводит Грэбнер, используемый в Windows скрипт winrm.vbs (располагается в папке System32) способен обрабатывать и запускать «контролируемый злоумышленником XSL», который не подпадает под ограничения enlightened script host, что позволяет запускать произвольный код.
«Если снабдить winrm.vbs параметрами “-format:pretty” или “-format:text”, он вызывает WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe, — пишет исследователь. — Это означает, что если злоумышленник скопирует cscript.exe в область, находящуюся под его контролем и в которой располагается его вредоносный XSL, ему удастся добиться запуска произвольного кода. По факту эта проблема практически идентична методу Кейси Смита (Kasey Smith) с использованием wmic.exe».

Отметим, что коллега Грэбнера Кэйси Смит в апреле 2018 г. описал метод использования файла wmic.exe для обхода «белых списков». Грэбнер принимал непосредственное участие и в исследовании Смита. Специалисты по информационной безопасности Microsoft вскоре после этого внесли необходимые изменения в Windows Defender.

Нечем крыть
По словам самого исследователя, метод обхода был обнаружен почти случайно: после совместного со Смитом проекта Грэбнер занялся аудитом других встроенных в Windows файлов VBS и JScript на предмет дополнительных возможностей обхода механизмов безопасности операционной системы.
Грэбнер указывает, что не существует надежных способов блокировать угрозу иначе как посредством активации принудительной проверки целостности кода в пользовательском режиме (User Mode Code Integrity) в модуле контроля приложений Windows Defender (WDAC). Однако, по словам Грэбнера, большинство организаций не использует WDAC.
В любом случае, пишет исследователь, присутствие на диске неподписанных WsmPty.xsl и WsmTxt.xsl должно немедленно вызывать подозрения.
«Интересный и отнюдь не очевидный метод, хотя и требующий определенных подготовительных действий, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — У злоумышленника должен быть хотя бы какой-то доступ к компьютеру и операционной системе, даже ограниченный (привилегии тут роли не играют). Реализация атаки удаленно зависит от того, существует ли вообще возможность записывать в систему какие-либо файлы».

Источник: cnews.ru