Безопасный режим Windows как способ для хищения учетных данных


Uyazvimost windowsСотрудником из CyberArk Labs был обнаружен способ хищения учетных данных путем эксплуатации безопасного режима (Safe Mode), реализованного в ОС Windows.

Для осуществления успешной атаки злоумышленнику для начала необходимо получить доступ с привилегиями локального администратора к компьютеру или серверу под управлением Windows. После этого злоумышленник может удаленно активировать безопасный режим для обхода средств защиты. Уже в безопасном режиме киберпреступник может запускать различные инструменты для сбора учетных данных и компрометации других компьютеров в сети. При этом он остается незамеченным на протяжении всего времени.

Данный метод работает на всех версиях Windows, включая Windows 10, несмотря на реализованный в данной версии модуль VSM (Microsoft Virtual Secure Module).

Напомним, безопасный режим загружает только основные службы и функции, которые необходимы для запуска Windows. Также он блокирует запуск сторонних служб и программ, в том числе инструментов безопасности. В результате злоумышленники могут удаленно запустить безопасный режим на скомпрометированных компьютерах и впоследствии осуществить атаки.

Успешная эксплуатация проблемы предполагает три обязательных этапа:

  • изменение системных настроек для активации безопасного режима во время следующей загрузки операционной системы;
  • создание вредоносных инструментов для загрузки в безопасном режиме;
  • осуществление принудительной перезагрузки компьютера для эксплуатации уязвимости.

Обновлено (16.09.2016 21:54)