На прошлой неделе Microsoft официально объявила о доступности обновления Windows 11 24H2 для всех пользователей. Однако, несмотря на это, обновление сопровождается рядом серьёзных проблем: ошибки при обновлении, жалобы на снижение производительности и даже опасения по поводу возможной потери данных.
Дополнительно, как сообщил читатель Neowin с ником dustojnikhummer, существует серьёзная уязвимость, которая, судя по всему, оставалась без внимания в течение нескольких месяцев — некорректная работа механизмов контроля AppLocker/WDAC (Windows Defender Application Control) для скриптов в PowerShell.
Что произошло?
Microsoft ещё в 2023 году упростила развертывание AppLocker, но, по всей видимости, не провела полноценное тестирование этой функции для Windows 11 24H2. Напомним, AppLocker позволяет администраторам ограничивать запуск приложений и скриптов в корпоративной среде. Он контролирует запуск .exe-файлов, сценариев (scripts), установщиков, библиотек DLL, UWP-приложений и т.д.
Пользователь CFou на форуме Stack Exchange первым сообщил, что режим ConstrainedLanguage (ограниченный режим) PowerShell не включается — сессия PowerShell запускается с полными правами (FullLanguage), игнорируя политики ограничения. Позже другие пользователи подтвердили воспроизводимость проблемы именно в версии Windows 11 24H2.
Эта уязвимость имеет высокую степень риска, так как она позволяет выполнять любые скрипты, включая вредоносные, без ограничений.
Что вызвало сбой?
Microsoft MVP Roody Ooms провёл собственное расследование и выяснил, что причиной проблемы стала неудачная реализация нового API — WldpCanExecuteFile, добавленного в PowerShell 7.3. Ранее использовался устаревший, но рабочий API WldpGetLockdownPolicy, который корректно обеспечивал применение ограничений.
Что делает Microsoft?
Microsoft признала проблему и начала работу над исправлением. В предварительной версии PowerShell 7.6-preview.4 уже реализовано обновление:
Engine Improvements:
Fallback to AppLocker after WldpCanExecuteFile (#24912)
(Откат к AppLocker в случае сбоя при проверке через WldpCanExecuteFile)