#Инфографика #Избраное #ЛентаНовостей #телекомлентач #метабаза #статистика #Платно #обзоргаджетов #шапито

Найден способ взломать «белые списки» приложений Windows

17 июль 2018 12:40 #70581 от ICT
ICT создал тему: Найден способ взломать «белые списки» приложений Windows
Обойти белые списки счерного хода Эксперт по кибербезопасности Мэтт Грэбнер (Matt Graebner) обнаружил довольно элегантный способобходить «белые списки» авторизованных приложений Windows и осуществлять запускпроизвольного неподписанного кода. Согласно описанию, которое приводит Грэбнер, используемый вWindows скрипт winrm.vbs (располагается в папке System32) способен обрабатыватьи запускать «контролируемый злоумышленником XSL», который не подпадает подограничения enlightened script host, что позволяет запускать произвольный код. «Если снабдить winrm.vbs параметрами “-format:pretty” или“-format:text”, он вызывает WsmPty.xsl или WsmTxt.xsl из каталога, в которомнаходится cscript.exe, — пишет исследователь. — Это означает, что если злоумышленникскопирует cscript.exe в область, находящуюся под его контролем и в которойрасполагается его вредоносный XSL, ему удастся добиться запуска произвольногокода. По факту эта проблема практически идентична методу Кейси Смита (Kasey Smith) с использованием wmic.exe».
Вложенный файл:
«Белые списки» приложений Windows можно обойти Отметим, что коллега Грэбнера Кэйси Смит в апреле 2018 г. описалметод использования файла wmic.exe для обхода «белых списков». Грэбнер принималнепосредственное участие и в исследовании Смита. Специалисты по информационнойбезопасности Microsoft вскоре после этого внесли необходимые изменения вWindows Defender. Нечем крыть По словам самого исследователя, метод обхода был обнаруженпочти случайно: после совместного со Смитом проекта Грэбнер занялся аудитомдругих встроенных в Windows файлов VBS и JScript на предмет дополнительныхвозможностей обхода механизмов безопасности операционной системы. Грэбнер указывает, что не существует надежных способовблокировать угрозу иначе как посредством активации принудительной проверкицелостности кода в пользовательском режиме (User Mode Code Integrity) в модулеконтроля приложений Windows Defender (WDAC). Однако, по словам Грэбнера,большинство организаций не использует WDAC. В любом случае, пишет исследователь, присутствие на дискенеподписанных WsmPty.xsl и WsmTxt.xsl должно немедленно вызывать подозрения. «Интересный и отнюдь не очевидный метод, хотя и требующийопределенных подготовительных действий, — считает Олег Галушкин, эксперт по информационной безопасности компании SECConsult Services. — У злоумышленника должен быть хотя бы какой-то доступ ккомпьютеру и операционной системе, даже ограниченный (привилегии тут роли неиграют). Реализация атаки удаленно зависит от того, существует ли вообщевозможность записывать в систему какие-либо файлы». Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно

    • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Найден способ взломать блокировку iPhone за 15 секунд. Видео20.16Пятница, 18 августа 2017
    Найден способ взломать любые современные компьютеры (кроме пары-тройки Mac)19.74Четверг, 13 сентября 2018
    «Белые списки» в Рунете заработают весной 202017.68Вторник, 12 декабря 2017
    Найден способ захватить Windows с помощью лишнего пробела17.59Вторник, 20 ноября 2018
    Придуман способ взломать любую защиту ядра Windows17.56Четверг, 23 августа 2018
    Роскомнадзор потратит 5 миллиардов на «суверенный Рунет» и «белые списки» в интернете17.31Вторник, 14 мая 2019
    Найден способ ускорить Wi-Fi в 100 раз13.68Понедельник, 03 апреля 2017
    Найден способ уничтожить анонимность биткоина13.38Вторник, 09 января 2018
    Найден простой способ взлома сетей Wi-Fi13.38Четверг, 09 августа 2018
    Найден способ разогнать компьютеры в миллион раз13.38Пятница, 05 октября 2018

    Мы в соц. сетях