Найден способ обходить "белые списки" Windows и запускать произвольный код

Найден способ обходить "белые списки" Windows и запускать произвольный код

Обойти белые списки с черного хода

Эксперт по кибербезопасности Мэтт Грэбнер (Matt Graebner) обнаружил довольно элегантный способ обходить "белые списки" авторизованных приложений Windows и осуществлять запуск произвольного неподписанного кода.

Согласно описанию, которое приводит Грэбнер, используемый в Windows скрипт winrm.vbs (располагается в папке System32) способен обрабатывать и запускать "контролируемый злоумышленником XSL", который не подпадает под ограничения enlightened script host, что позволяет запускать произвольный код.

"Если снабдить winrm.vbs параметрами "-format:pretty" или "-format:text", он вызывает WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe, — пишет исследователь. — Это означает, что если злоумышленник скопирует cscript.exe в область, находящуюся под его контролем и в которой располагается его вредоносный XSL, ему удастся добиться запуска произвольного кода. По факту эта проблема практически идентична методу Кейси Смита (Kasey Smith) с использованием wmic.exe".

Отметим, что коллега Грэбнера Кэйси Смит в апреле 2018 г. описал метод использования файла wmic.exe для обхода "белых списков". Грэбнер принимал непосредственное участие и в исследовании Смита. Специалисты по информационной безопасности Microsoft вскоре после этого внесли необходимые изменения в Windows Defender.

Нечем крыть

По словам самого исследователя, метод обхода был обнаружен почти случайно: после совместного со Смитом проекта Грэбнер занялся аудитом других встроенных в Windows файлов VBS и JScript на предмет дополнительных возможностей обхода механизмов безопасности операционной системы.

Грэбнер указывает, что не существует надежных способов блокировать угрозу иначе как посредством активации принудительной проверки целостности кода в пользовательском режиме (User Mode Code Integrity) в модуле контроля приложений Windows Defender (WDAC). Однако, по словам Грэбнера, большинство организаций не использует WDAC.

В любом случае, пишет исследователь, присутствие на диске неподписанных WsmPty.xsl и WsmTxt.xsl должно немедленно вызывать подозрения.

"Интересный и отнюдь не очевидный метод, хотя и требующий определенных подготовительных действий, — считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — У злоумышленника должен быть хотя бы какой-то доступ к компьютеру и операционной системе, даже ограниченный (привилегии тут роли не играют). Реализация атаки удаленно зависит от того, существует ли вообще возможность записывать в систему какие-либо файлы".

Cnews