Microsoft заявляет, что Windows PowerShell теперь выдает предупреждения при запуске скриптов, использующих командлет Invoke-WebRequest для загрузки веб-контента. Это позволит предотвратить выполнение потенциально опасного кода.

Как поясняет Microsoft, предупреждения устранят серьёзную уязвимость удалённого выполнения кода в PowerShell (CVE-2025-54100), которая в основном затрагивает корпоративные или управляемые IT-подразделениями среды, использующие скрипты утилиты для автоматизации.

В Windows PowerShell 5.1, которая установлена по умолчанию в системах Windows 10 и Windows 11, добавлено предупреждение, призванное обеспечить тот же безопасный процесс анализа веб-страниц, что и в PowerShell 7. По умолчанию, если нажать Enter или выбрать «Нет», то операция будет отменена, и PowerShell предложит повторно запустить команду с параметром "-UseBasicParsing" для более безопасной обработки.

Если же выбрать «Да», PowerShell будет анализировать страницу с использованием старого метода (полный анализ HTML), позволяя содержимому и встроенным скриптам загружаться как раньше. 

После установки обновления KB5074204 IT-администраторы увидят следующее предупреждение о рисках выполнения кода скрипта: 

Security Warning: Script Execution Risk Invoke-WebRequest parses the content of the web page. Script code in the web page might be run when the page is parsed. RECOMMENDED ACTION: Use the -UseBasicParsing switch to avoid script code execution. Do you want to continue? ``` For additional details, see [KB5074596: PowerShell 5.1: Preventing script execution from web content](https://support.microsoft.com/help/5072034).

Чтобы избежать зависания скриптов автоматизации до ручного подтверждения, администраторам рекомендуется обновить их, используя безопасный параметр UseBasicParsing. Также важно отметить, что в PowerShell команда 'curl' является псевдонимом командлета Invoke-WebRequest, поэтому предупреждения появятся при запуске скриптов, вызывающих команды curl.

«Большинство скриптов и команд PowerShell, использующих команду Invoke-WebRequest, будут продолжать работать с минимальными изменениями или без них. Например, скрипты, которые только загружают контент или работают с телом ответа в виде текста или данных, не затронуты и не требуют изменений», — отметили в Microsoft.

Ранее сообщалось, что новый вариант вредоносного ПО ClickFix начал маскироваться под критически важное обновление Windows, используя поддельное полноэкранное окно с запросом на апдейт. Когда пользователи устанавливают его, то злоумышленники получают права администратора. Предустановленная утилита извлекает полезную нагрузку из шестнадцатеричного URL-адреса и запускает нежелательный код PowerShell, чтобы помешать таким инструментам, как Bitdefender, выполнить какие-либо действия или обнаружить вредоносную активность.