whatsaper ru ÐедеÑÑкие анекдоÑÑ Ð¿Ñо ÐовоÑкÑ
Microsoft пытается защитить учетные данные учетной записи пользователя от кражи в Windows 10 Enterprise, а продукты безопасности обнаруживают попытки похитить пароли пользователей. Но все эти усилия могут быть отменены безопасным режимом, согласно исследователям безопасности.
Безопасный режим - это режим диагностики операционной системы, который существует с Windows 95. Он может быть активирован во время загрузки и загружает только минимальный набор сервисов и драйверов, которые Windows требует для запуска.
Это означает, что большинство сторонних программ, включая продукты безопасности, не запускаются в безопасном режиме, что отрицает защиту, которую они в противном случае предлагают. Кроме того, есть также дополнительные функции Windows, такие как Virtual Secure Module (VSM), которые не запускаются в этом режиме.
[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]VSM - это виртуальный машинный контейнер, присутствующий в Windows 10 Enterprise, который может использоваться для изоляции критических служб от остальной части системы, включая службу подсистемы локальной безопасности (LSASS). LSASS обрабатывает аутентификацию пользователя. Если VSM активен, даже административные пользователи не могут получить доступ к паролям или хэшам паролей других пользователей системы.
В сетях Windows злоумышленники не обязательно должны использовать незашифрованные пароли для доступа к определенным службам. Во многих случаях процесс аутентификации зависит от криптографического хэша паролей, поэтому есть инструменты для извлечения таких хэшей из скомпрометированных машин Windows и использования их для доступа к другим службам.
Этот метод бокового движения известен как pass-the-hash и является один из атак, которые Virtual Protection Module (VSM) был предназначен для защиты от.
Однако исследователи безопасности из CyberArk Software поняли, что, поскольку VSM и другие продукты безопасности, которые могут блокировать инструменты для извлечения пароля, не запускаются в безопасном режиме, злоумышленники могут использовать его для обхода защиты.
Между тем есть способы удаленного подключения компьютеров в безопасный режим, не вызывая подозрений у пользователей, исследователь CyberArk Дорон Наим сказал в сообщении в блоге.
Чтобы снять такую атаку, хакер сначала необходимо получить административный доступ на компьютере жертвы, что не является чем-то необычным в реальных нарушениях безопасности.
Атакующие используют различные методы для заражения компьютеров вредоносным ПО, а затем эскалируют i, используя уязвимости, связанные с нежелательными привилегиями привилегии, или с помощью социальной инженерии, чтобы обмануть пользователей.
После того, как у злоумышленника есть права администратора на компьютере, он может изменить конфигурацию загрузки ОС, чтобы заставить ее автоматически войти в безопасный режим при следующем запуске. Затем он может настроить службу изгоев или COM-объект для запуска в этом режиме, украсть пароль и затем перезагрузить компьютер.
В Windows обычно отображаются индикаторы того, что ОС находится в безопасном режиме, что может предупредить пользователей, но есть способы обойти что Naim сказал.
Во-первых, для принудительной перезагрузки злоумышленник может отобразить приглашение, подобное тому, которое отображается Windows, когда компьютер необходимо перезапустить, чтобы установить ожидающие обновления. Затем один раз в безопасном режиме вредоносный COM-объект мог изменить фон рабочего стола и другие элементы, чтобы убедиться, что ОС по-прежнему находится в нормальном режиме, сказал исследователь.
Если злоумышленники хотят захватить учетные данные пользователя, им необходимо пусть пользователь входит в систему, но если их целью является только выполнение атаки pass-the-hash, они могут просто принудительно запустить обратный перезапуск, который будет неотличим от пользователя, сказал Найм.
CyberArk сообщила, что но Microsoft заявляет, что Microsoft не рассматривает ее как уязвимость безопасности, поскольку злоумышленники должны сначала подвергать риску компьютер и получать административные привилегии.
Хотя патч может не появиться, есть некоторые шаги по предотвращению изменения, которые могут чтобы защитить себя от таких атак, сказал Наим. Они включают в себя удаление привилегий локального администратора от стандартных пользователей, вращение привилегированных учетных данных для частого использования недействительных существующих хэшей паролей, использование средств безопасности, которые работают нормально даже в безопасном режиме, и добавление механизмов, которые будут предупреждены при загрузке машины в безопасном режиме.
Обзор Pogoplug Series 4: доступ к удаленным приводам стал проще и быстрее
Оснащенный USB 3.0, последний Pogoplug обеспечивает быструю, простой способ обмена любым жестким диском через Интернет; но для доступа к веб-порталу требуется некоторая работа.
Тысячи приложений Java, уязвимых для эксплойта с удаленным выполнением девятимесячного кода
Серьезная уязвимость в популярной Java-среде библиотека ставит тысячи Java-приложений и серверов под угрозу удаленных атак с использованием кода.
Атака с удаленным безопасным режимом поражает защиту от пропусков в Windows 10
Атакующие могут удаленно принудительно переводить компьютеры Windows в безопасный режим, чтобы чтобы обойти защиту с помощью хэша и украсть учетные данные учетной записи пользователя.
