Menu dostępności

Runonce.exe - kolejny lolbin

Kolejny LOLBin pozwalający na obejście zabezpieczeń Windows i uruchomienie dowolnego programu

Badacz bezpieczeństwa Grzegorz Tworek opublikował na Twitterze kolejny plik binarny Windows (LOLBin), który pozwala użytkownikowi uruchomić z systemu dowolny inny plik wykonywalny.

RunOnce.Exe - kolejny lolbin
Program nazywa się RunOnce.Exe i znajduje się w katalogu „C:\Windows\System32”.

RunOnce.exe – co to takiego?

RunOnce.exe to skrót od Microsoft Run Once. Jest to plik wykonywalny Windows używany przez programy instalacyjne dla aplikacji firm trzecich. Pozwala na ponowne uruchomienie programu instalacyjnego po jego użyciu, umożliwiając użytkownikowi przeprowadzenie dalszej konfiguracji. Podczas instalacji programów niektóre instalatory Windows dodają specjalny wpis do gałęzi rejestru systemowego, pozwalający na automatyczne uruchomienia ich po jego instalacji.

Grzegorz wykorzystał powyższe zachowanie i pokazał, jak za pomocą wbudowanego w Windows programu RunOnce.exe oraz specjalnego wpisu do rejestru możemy taki program uruchomić. Przy okazji tym sposobem jesteśmy w stanie obejść zabezpieczenia Windows zabraniające uruchamiania dowolnych (niedozwolonych) programów przez użytkownika.

Przykład uruchomienia programu za pomocą RunOnce.exe

W celu uruchomienia dowolnego pliku wykonywalnego musimy najpierw dodać specjalny wpis do rejestru systemowego, który konfiguruje ścieżkę jego otwierania z dysku i określi ją dla RunOnce. Jako przykład uruchamianej aplikacji posłuży nam notatnik. Dodajemy zatem do rejestru informację o uruchomieniu notatnika w ścieżce RunOnce.

Przykład uruchomienia programu za pomocą RunOnce.exe

Polecenie reg.exe pozwoli nam dodać taki wpis. Parametr „/d” na końcu polecenia umożliwi określenie, do jakiego pliku odnosić się będzie wywołanie RunOnce.

Następnie uruchamiamy program RunOnce.exe z parametrem „/r”, co pozwoli na wystartowanie wskazanego w powyższej ścieżce rejestru programu (notatnika).

Runonce.exe /R
Przykład uruchomienia programu za pomocą RunOnce.exe - z parametrem
Przykład uruchomienia programu za pomocą RunOnce.exe - efekt

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Środowisko bezpieczeństwa IT ponownie żyje informacjami o ujawnieniu exploita typu zero-day dla systemów Microsoft Windows. Tym razem badacz bezpieczeństwa znany pod pseudonimem Chaotic Eclipse opub...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...