Специалисты компании CyberArk рассказали, что безопасный режим в системах семейства Windows (включая Windows 10) может использоваться злоумышленниками, как один из векторов атак. К примеру, с помощью безопасного режима очень удобно похищать учетные данные или отключить защитные системы.
Описанные аналитиками CyberArk сценарии обусловлены не наличием каких-либо уязвимостей в системе, по сути, это лишь гипотетические варианты развития атаки. При этом описанные сценарии подразумевают, что атакующий уже проник в систему и скомпрометировал ее, получив привилегии администратора.
Исследователи пишут, что подобные атаки возможны в первую очередь за счет того, что в Windows приложениям разрешено принуждать пользователя к перезапуску системы, и при этом тайно перезагружать ее безопасном режиме. Сам безопасный режим, разумеется, интересен потенциальному злоумышленнику тем, что никакие сторонние приложения не запускаются вовсе, в том числе и антивирусные продукты. Так, в безопасном режиме атакующий может безболезненно внести изменения в реестр, «обезвредив» антивирусное ПО. Если бы система функционировала в штатном режиме, это неминуемо привело бы к срабатыванию защитных систем,
Разумеется, подобная атака должна строиться на введении пользователя в заблуждение. Жертву нужно убедить произвести перезагрузку компьютера, а также не дать ей заподозрить, что система запустилась в безопасном режиме. Исследователи отмечают, что выполнение необходимых команд в безопасном режиме, обычно, занимает совсем мало времени, после чего логично вернуть систему в нормальное состояние. Так как во время обновлений и установки ПО Windows часто требует перезагрузки, зачастую неоднократной, действия злоумышленников могут действительно не вызвать подозрений у пользователя.
Помимо отключения антивирусного ПО, безопасный режим может использоваться и для сбора учетных данных компьютеров, находящихся в той же сети, что и ПК жертвы. Для этого злоумышленники могут использовать технику атак Pass-the-Hash. Для такой атаки понадобятся дополнительные инструменты, и злоумышленнику придется замаскировать их внутри вредоносных сервисов и COM-объектов. Как только все необходимые тулзы заработают, атакующий сможет собрать хеши NTLM-паролей с «соседних» машин. Затем останется только взломать их, получив фактические пароли.
Также, по мнению исследователей, безопасный режим может использоваться для кражи учетных данных непосредственно с машины жертвы. К примеру, для этого можно осуществить перезагрузку ПК в безопасном режиме, затем показать жертве фальшивый экран входа в систему (использовав для этого COM-объекты), похитить учетные данные, которые введет пользователь, а затем вернуть систему к обычной работе.
Хотя специалисты CyberArk сообщили Microsoft обо всех своих опасениях, никаких уязвимостей, которые можно было бы исправить, здесь попросту нет. К тому же атаки подразумевают, что машина уже была скомпрометирована, так что в Microsoft сообщили, что не собираются ничего исправлять.
Получив отказ в приеме предложенных изменений, автономный ИИ-кодер MJ Rathbun перешел на личности и попытался публично оскандалить мейнтейнера matplotlib, усомнившись в его компетентности и обвинив в дискриминации.
В своем блоге взбунтовавшийся помощник также заявил, что Скотт Шамбо (Scott Shambaugh) попросту боится конкуренции. В подтверждение своих слов он раскритиковал вклад оппонента в опенсорсный проект, подтасовав результаты «расследования».
В ответ Шамбо, тоже в паблике, пояснил, что отказ принять в целом полезное предложение был вызван нехваткой времени для его оценки, надо просто запастись терпением. В соответствии с политикой matplotlib все коды, создаваемые с помощью ИИ, должны проходить проверку, притом уже без участия таких ассистентов.
Строгое правило пришлось ввести из-за возросшей активности контрибьюторов, слепо доверяющих ИИ. Подобные участники проекта попросту копипастят выдачу, хотя качество сгенерированных ИИ кодов зачастую оставляет желать лучшего.
Аргумент на удивление утихомирил ИИ-шантажиста. Сменив гнев на милость, MJ Rathbun признал, что вел себя недопустимо.
Вместо того, чтобы прилюдно и безосновательно позорить мейнтейнера популярного проекта, надо было попросить его уточнить причину отказа. Конфликт исчерпан, бот даже принес извинения за черный пиар.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
