Хакеры могут похитить учетные данные, используя безопасный режим

Олег Иванов 17 Сентября 2016 - 14:07

Домашние пользователи

Windows

Microsoft

CyberArk Software

Системы защиты личных данных

Кража данных

...

Хакеры могут похитить учетные данные, используя безопасный режим

Исследователь в области безопасности Doron Naim нашел способ, позволяющий хакерам красть учетные данные пользователей Windows 10, используя безопасный режим.

Эксперт объясняет, что проводящий атаку злоумышленник должен иметь доступ к атакуемому компьютеру, чтобы была возможность перезагрузить его в безопасном режиме и воспользоваться наличием меньших функций безопасности.

После того, как компьютер будет перезагружен в безопасном режиме, злоумышленник может украсть данные логина. Это делается путем показа пользователю поддельного экрана входа в систему, для этого используется техника эмулирования с помощью COM-объекта. Данные, которые пользователь введет затем на этом поддельном экране попадут прямиком в руки злоумышленников.

«После того, как злоумышленники получат права локального администратора на зараженном компьютере, они смогут удаленно активировать безопасный режим» - говорит Naim.

«В безопасном режиме злоумышленники могут свободно запускать инструменты для сбора учетных данных, оставаясь при этом незамеченными. Эта атака может также сработать, несмотря на наличие модуля Virtual Secure».

Microsoft не сможет исправить эту уязвимость, так как она подразумевает, что у хакеров уже есть доступ компьютеру.

Эксперт утверждает, что получить доступ к, по крайней мере, одному компьютеру в организации легко, что доказывает исследование.

Безопасный режим позволяет избежать множества мер безопасности, включая модуль Virtual Security, которые в противном случае будут служить ограничением возможностей злоумышленников и не позволят им развернуть инструменты и похитить хэшей паролей.

Злоумышленники могут ждать, пока пользователь сам перезагрузит компьютер, либо сгенерировать сообщение о том, что перезагрузка требуется. Контроль безопасности можно отключить из безопасного режима, изменив ключи реестра.

Антивирусы Microsoft, Trend Micro, McAfee и Avira были неспособны справиться с атакой, так как их просто отключили в безопасном режиме. Эксперт рекомендует администраторам подумать о мерах безопасности, которые будут работать в безопасном режиме.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Апреля 2026 - 17:26

Корпорации Защита конечных точек сети Системы обнаружения целевых атак на конечных точках сети (EDR) Security Vision

Security Vision вывела на рынок EDR-систему с корреляцией на агенте

Security Vision представила новый продукт для защиты конечных точек — Security Vision EDR. Решение относится к классу Endpoint Detection and Response и предназначено для выявления, анализа и пресечения угроз на рабочих станциях и серверах под управлением Windows и Linux.

Главная особенность новинки — корреляция событий прямо на уровне агента, то есть непосредственно на конечной точке.

Такой подход позволяет фиксировать подозрительную активность и реагировать на неё без постоянной зависимости от центральной инфраструктуры. Проще говоря, часть логики срабатывает на месте, а не после отправки данных куда-то наверх.

В продукт встроены механизмы автоматической блокировки вредоносной активности. При этом предусмотрены и инструменты ручного реагирования, чтобы оператор мог отдельно вмешаться в инцидент и выполнить точечные действия там, где автоматического сценария недостаточно.

В составе Security Vision EDR заявлено более 800 преднастроенных правил корреляции, охватывающих типовые техники атак. Для настройки и доработки правил предусмотрен No-Code редактор — он позволяет адаптировать логику детектирования под конкретную инфраструктуру без программирования.

Отдельно в решении сделан акцент на настройке сенсоров и собираемой телеметрии. Это должно помочь компаниям балансировать между глубиной мониторинга и нагрузкой на систему, что для EDR-сегмента вопрос вполне практический, а не декоративный.

Ещё один важный блок — управление агентской инфраструктурой. В системе есть функции централизованного развёртывания агентов, контроля их доступности и оценки стабильности работы. Эти данные выводятся на дашборды и в отчёты, чтобы было проще следить за покрытием и состоянием всей агентской сети.

Кроме того, в продукт встроен модуль управления активами. Он позволяет сканировать инфраструктуру, инвентаризировать хосты и сервисы, формировать группы активов и классифицировать их по ролям и критичности. Для аналитиков это даёт дополнительный контекст при расследовании: можно быстрее понять, насколько важен затронутый актив и какое место он занимает в инфраструктуре.

Компания также сообщила, что продукт внесён в реестр российского ПО и имеет ряд сертификатов и заключений, включая документы ФСТЭК, ФСБ, Минобороны России и ОАЦ при Президенте Республики Беларусь.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!