На конференции Black Hat USA 2016 исследователи Microsoft продемонстрировали, что уязвимость в Windows, которую, как ранее считали эксперты, можно проэксплуатировать только при наличии физического доступа, также имеет опасность удаленной эксплуатации.
В прошлом году на конференции Black Hat в Европе, исследователь Ян Хакен (Ian Haken) рассказал об уязвимости, позволяющей обойти локальную проверку подлинности Windows и отключить полное шифрование диска.
Уязвимость, получившая название , по словам Microsoft, была вызвана неспособностью протокола Kerberos проверить изменение пароля при входе пользователя. Казалось, чт овендор устранил этот недостаток в ноябре 2015 года, однако в феврале 2016 эксперты Набиль Ахмед (Nabeel Ahmed) и Том Гилис (Tom Gilis) обнаружили, что уязвимость до конца не устранена ().
Бюллетени безопасности, выпущенные Microsoft были отмечены только как «важные», потому что для эксплуатации уязвимости необходим был физический доступ. Атаки, требующие физического доступа к системе называют «evil maid».
Несмотря на то, что эти уязвимости являются довольно опасными, многие организации, скорее всего, пренебрегли установкой патчей, так как возможность атаки подразумевает наличие физического доступа к компьютеру. Хакеры, к слову, тоже проигнорировали эти бреши по той же причине.
Тем не менее, эксперты Microsoft Chaim Hoch и Tal Be'ery нашли способ воспользоваться этими уязвимостями удаленно и описали этот метод в четверг на конференции по безопасности Black Hat в Лас-Вегасе.
В атаке, описанной в прошлом году Хакеном, хакер может обойти проверку подлинности Windows, установив новый поддельный контроллер домена с тем же именем, что и компьютер жертвы. Имя может быть легко получено из экрана блокировки.
Затем злоумышленник должен создать четную запись пользователя с именем жертвы (эту информацию также можно получить из экрана блокировки). А пароль пользователя должен быть сконфигурирован как истекший.
В следующей фазе атаки, хакер физически получает доступ к системе, соединяет ее с поддельным контроллером домена и пытается войти в созданную учетную запись. Так как пароль истек, злоумышленнику будет предложено изменить его, а новый пароль добавится в кэшированные учетные данные локального компьютера.
Наконец, злоумышленник отключает устройство от поддельного контроллера домена и входит в систему с паролем, который он установил. Вход будет успешным, потому что компьютер не подключен к контроллеру домена и пароль сравнивается с кэшированной версией.
В случае удаленной атаки, злоумышленник использует такие инструменты как Nmap, чтобы найти в сети компьютеры, с запущенным протоколом удаленного рабочего стола (RDP). Злоумышленник также должен следить за активностью входов пользователей, чтобы вычислить уязвимые для атаки компьютеры.
После того, как атакуемый компьютер подключится к подлинному контроллеру домена, атака больше не сработает, так как кэшированные учетные данные не больше не используются. Для того чтобы сохранить доступ к компьютеру даже после того, как он возвращается к исходному контроллеру, киберпреступники могут получить пароль жертвы из памяти, используя такие инструменты, как Mimikatz.
Hoch и Tal Be'ery опубликовали видео, чтобы показать, как работает удаленная атака.
Исследователи полагают, что нет ничего трудного в проведении такой атаки. Одним из ее преимуществ является то, что она не оставляет никаких следов на целевом компьютере, особенно если хакер получает данные жертвы из памяти и использует их, чтобы войти.
Hoch и Tal Be'ery также отметили, что организациям, которые пренебрегли установкой патчей стоит пересмотреть свою точку зрения на этот вопрос.
Депутаты фракции «Новые люди» предложили МВД запустить сервис «Безопасный маршрут» — функцию для передачи геопозиции человека в полицию и экстренные службы, если ему угрожает опасность. Идея такая: человек сам включает временную передачу маршрута и геолокации, когда чувствует риск для жизни, здоровья или личной безопасности.
Об инициативе сообщает ТАСС. Функцию предлагают встроить в приложения «Госуслуги» и «МВД России», а также связать с цифровым контуром «Системы-112».
Письмо с предложением направили главе МВД Владимиру Колокольцеву. Работать это может как тревожный режим в смартфоне.
Пользователь заранее или прямо в опасной ситуации включает сервис, указывает конечную точку и примерное время прибытия. Либо выбирает готовый сценарий: «иду домой», «еду в такси», «нахожусь в опасной ситуации», «нужна помощь».
После активации система временно фиксирует маршрут и геолокацию. Если человек нажмёт тревожную кнопку, не подтвердит завершение маршрута или сработает другой заданный сценарий, данные передадут оператору «Системы-112» или в дежурную часть полиции.
Авторы инициативы считают, что сервис поможет быстрее определить местонахождение человека в экстренной ситуации и сократить время реакции полиции. А заодно использовать уже существующую цифровую инфраструктуру госприложений не только для справок и заявлений, но и для реальной помощи в момент, когда пользователю уже не до бюрократии.
По сути, депутаты предлагают превратить смартфон в тревожный маячок: включил маршрут, и в случае ЧП экстренные службы не начинают гадать, где тебя искать, а получают координаты.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.