Найден способ взломать «белые списки» приложений Windows

17 июль 2018 12:40 #70581 от ICT
Обойти белые списки счерного хода Эксперт по кибербезопасности Мэтт Грэбнер (Matt Graebner) обнаружил довольно элегантный способобходить «белые списки» авторизованных приложений Windows и осуществлять запускпроизвольного неподписанного кода. Согласно описанию, которое приводит Грэбнер, используемый вWindows скрипт winrm.vbs (располагается в папке System32) способен обрабатыватьи запускать «контролируемый злоумышленником XSL», который не подпадает подограничения enlightened script host, что позволяет запускать произвольный код. «Если снабдить winrm.vbs параметрами “-format:pretty” или“-format:text”, он вызывает WsmPty.xsl или WsmTxt.xsl из каталога, в которомнаходится cscript.exe, — пишет исследователь. — Это означает, что если злоумышленникскопирует cscript.exe в область, находящуюся под его контролем и в которойрасполагается его вредоносный XSL, ему удастся добиться запуска произвольногокода. По факту эта проблема практически идентична методу Кейси Смита (Kasey Smith) с использованием wmic.exe». «Белые списки» приложений Windows можно обойти Отметим, что коллега Грэбнера Кэйси Смит в апреле 2018 г. описалметод использования файла wmic.exe для обхода «белых списков». Грэбнер принималнепосредственное участие и в исследовании Смита. Специалисты по информационнойбезопасности Microsoft вскоре после этого внесли необходимые изменения вWindows Defender. Нечем крыть По словам самого исследователя, метод обхода был обнаруженпочти случайно: после совместного со Смитом проекта Грэбнер занялся аудитомдругих встроенных в Windows файлов VBS и JScript на предмет дополнительныхвозможностей обхода механизмов безопасности операционной системы. Грэбнер указывает, что не существует надежных способовблокировать угрозу иначе как посредством активации принудительной проверкицелостности кода в пользовательском режиме (User Mode Code Integrity) в модулеконтроля приложений Windows Defender (WDAC). Однако, по словам Грэбнера,большинство организаций не использует WDAC. В любом случае, пишет исследователь, присутствие на дискенеподписанных WsmPty.xsl и WsmTxt.xsl должно немедленно вызывать подозрения. «Интересный и отнюдь не очевидный метод, хотя и требующийопределенных подготовительных действий, — считает Олег Галушкин, эксперт по информационной безопасности компании SECConsult Services. — У злоумышленника должен быть хотя бы какой-то доступ ккомпьютеру и операционной системе, даже ограниченный (привилегии тут роли неиграют). Реализация атаки удаленно зависит от того, существует ли вообщевозможность записывать в систему какие-либо файлы». Ссылка на источник


  • Сообщений: 75474

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Мы в соц. сетях