На конференции Black Hat USA 2016 исследователи Microsoft продемонстрировали, что уязвимость в Windows, которую, как ранее считали эксперты, можно проэксплуатировать только при наличии физического доступа, также имеет опасность удаленной эксплуатации.
В прошлом году на конференции Black Hat в Европе, исследователь Ян Хакен (Ian Haken) рассказал об уязвимости, позволяющей обойти локальную проверку подлинности Windows и отключить полное шифрование диска.
Уязвимость, получившая название , по словам Microsoft, была вызвана неспособностью протокола Kerberos проверить изменение пароля при входе пользователя. Казалось, чт овендор устранил этот недостаток в ноябре 2015 года, однако в феврале 2016 эксперты Набиль Ахмед (Nabeel Ahmed) и Том Гилис (Tom Gilis) обнаружили, что уязвимость до конца не устранена ().
Бюллетени безопасности, выпущенные Microsoft были отмечены только как «важные», потому что для эксплуатации уязвимости необходим был физический доступ. Атаки, требующие физического доступа к системе называют «evil maid».
Несмотря на то, что эти уязвимости являются довольно опасными, многие организации, скорее всего, пренебрегли установкой патчей, так как возможность атаки подразумевает наличие физического доступа к компьютеру. Хакеры, к слову, тоже проигнорировали эти бреши по той же причине.
Тем не менее, эксперты Microsoft Chaim Hoch и Tal Be'ery нашли способ воспользоваться этими уязвимостями удаленно и описали этот метод в четверг на конференции по безопасности Black Hat в Лас-Вегасе.
В атаке, описанной в прошлом году Хакеном, хакер может обойти проверку подлинности Windows, установив новый поддельный контроллер домена с тем же именем, что и компьютер жертвы. Имя может быть легко получено из экрана блокировки.
Затем злоумышленник должен создать четную запись пользователя с именем жертвы (эту информацию также можно получить из экрана блокировки). А пароль пользователя должен быть сконфигурирован как истекший.
В следующей фазе атаки, хакер физически получает доступ к системе, соединяет ее с поддельным контроллером домена и пытается войти в созданную учетную запись. Так как пароль истек, злоумышленнику будет предложено изменить его, а новый пароль добавится в кэшированные учетные данные локального компьютера.
Наконец, злоумышленник отключает устройство от поддельного контроллера домена и входит в систему с паролем, который он установил. Вход будет успешным, потому что компьютер не подключен к контроллеру домена и пароль сравнивается с кэшированной версией.
В случае удаленной атаки, злоумышленник использует такие инструменты как Nmap, чтобы найти в сети компьютеры, с запущенным протоколом удаленного рабочего стола (RDP). Злоумышленник также должен следить за активностью входов пользователей, чтобы вычислить уязвимые для атаки компьютеры.
После того, как атакуемый компьютер подключится к подлинному контроллеру домена, атака больше не сработает, так как кэшированные учетные данные не больше не используются. Для того чтобы сохранить доступ к компьютеру даже после того, как он возвращается к исходному контроллеру, киберпреступники могут получить пароль жертвы из памяти, используя такие инструменты, как Mimikatz.
Hoch и Tal Be'ery опубликовали видео, чтобы показать, как работает удаленная атака.
Исследователи полагают, что нет ничего трудного в проведении такой атаки. Одним из ее преимуществ является то, что она не оставляет никаких следов на целевом компьютере, особенно если хакер получает данные жертвы из памяти и использует их, чтобы войти.
Hoch и Tal Be'ery также отметили, что организациям, которые пренебрегли установкой патчей стоит пересмотреть свою точку зрения на этот вопрос.
Разработчики WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) наконец-то решились на шаг, которого пользователи ждали годами. Мессенджер начал постепенно включать голосовые и видеозвонки прямо в WhatsApp Web, без установки десктопного приложения. Пока функция доступна не всем, но процесс уже запущен.
Первыми нововведение получают участники бета-программы WhatsApp Web. На стартовом этапе звонки работают в индивидуальных чатах: достаточно открыть диалог в браузере и нажать кнопку вызова — всё, как в привычных мобильных и десктопных версиях.
Все звонки в веб-версии защищены сквозным шифрованием. WhatsApp использует протокол Signal — тот же самый, что уже много лет защищает сообщения, звонки и статусы в приложениях для Android, iOS и компьютеров. Никаких дополнительных настроек включать не нужно: шифрование работает автоматически.
Веб-звонки поддерживают демонстрацию экрана — правда, только во время видеовызова. Функция работает так же, как в десктопных приложениях, и подойдёт для показов документов, презентаций или рабочих экранов. Впрочем, разработчики справедливо напоминают: делиться экраном стоит только с теми, кому вы действительно доверяете.
Особенно рады обновлению будут пользователи Linux. Официального десктопного клиента WhatsApp для этой ОС нет, и раньше для звонков приходилось доставать смартфон. Теперь полноценные голосовые и видеозвонки доступны прямо из браузера, что заметно упрощает жизнь.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
