Найден способ взломать «белые списки» приложений Windows

Опубликовано: 01.09.2018

видео Найден способ взломать «белые списки» приложений Windows

Черный экран после обновления Windows.Решение проблемы.Ремонт компьютера

Эксперт по кибербезопасности Мэтт Грэбнер обнаружил способ обходить «белые списки» авторизованных приложений Windows и осуществлять запуск произвольного неподписанного кода.



Согласно описанию, которое приводит Грэбнер, используемый в Windows скрипт winrm.vbs (располагается в папке System32) способен обрабатывать и запускать «контролируемый злоумышленником XSL», который не подпадает под ограничения enlightened script host, что позволяет запускать произвольный код.

«Если снабдить winrm.vbs параметрами “-format:pretty” или “-format:text”, он вызывает WsmPty.xsl или WsmTxt.xsl из каталога, в котором находится cscript.exe, — пишет исследователь. — Это означает, что если злоумышленник скопирует cscript.exe в область, находящуюся под его контролем и в которой располагается его вредоносный XSL, ему удастся добиться запуска произвольного кода. По факту эта проблема практически идентична методу Кейси Смита с использованием wmic.exe».


Архив смерти - 42.zip | {ВИРУСОЛОГИЯ} #1

 

rss