В Windows найден метод обхода белых списков приложений

Исследователь в области кибербезопасности Мэтт Гребер нашел интересный метод обхода белых списков приложений в Windows. Помимо этого, эксперт описал технику выполнения произвольного неподписанного кода в winrm.vbs.

winrm.vbs (подписанный Windows скрипт в System32) способен выполнять контролируемый злоумышленником XSL, который не попадет под ограничения «enlightened script host», в результате это приведет к выполнению произвольного неподписанного кода.

«Если вы добавляете “-format:pretty” или “ -format:text” в winrm.vbs, он вытащит WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe. Это значит, что атакующий может скопировать cscript.exe в нужное ему место, где находится вредоносный XSL», — пишет специалист.

«Благодаря этому киберпреступник может добиться выполнения произвольного неподписанного кода. Эта техника практически идентична описанному Кейси Смитом методу с использованием wmic.exe».

Источник: https://www.anti-malware.ru/news/2018-07-16-1447/26826

www.press-service.uz

Официальный веб-сайт Президента Республики Узбекистан

www.gov.uz

Портал Государственной Власти Республики Узбекистан

Infosec.uz

Центр информационной и общественной безопасности

www.mitc.uz

Министерство по развитию информационных технологий и коммуникаций Республики Узбекистан

www.lex.uz

Центр правовой информатизации при Министерстве юстиции Республики Узбекистан