Исследователь в области безопасности Doron Naim нашел способ, позволяющий хакерам красть учетные данные пользователей Windows 10, используя безопасный режим.
Эксперт объясняет, что проводящий атаку злоумышленник должен иметь доступ к атакуемому компьютеру, чтобы была возможность перезагрузить его в безопасном режиме и воспользоваться наличием меньших функций безопасности.
После того, как компьютер будет перезагружен в безопасном режиме, злоумышленник может украсть данные логина. Это делается путем показа пользователю поддельного экрана входа в систему, для этого используется техника эмулирования с помощью COM-объекта. Данные, которые пользователь введет затем на этом поддельном экране попадут прямиком в руки злоумышленников.
«После того, как злоумышленники получат права локального администратора на зараженном компьютере, они смогут удаленно активировать безопасный режим» - Naim.
«В безопасном режиме злоумышленники могут свободно запускать инструменты для сбора учетных данных, оставаясь при этом незамеченными. Эта атака может также сработать, несмотря на наличие модуля Virtual Secure».
Microsoft не сможет исправить эту уязвимость, так как она подразумевает, что у хакеров уже есть доступ компьютеру.
Эксперт утверждает, что получить доступ к, по крайней мере, одному компьютеру в организации легко, что доказывает .
Безопасный режим позволяет избежать множества мер безопасности, включая модуль Virtual Security, которые в противном случае будут служить ограничением возможностей злоумышленников и не позволят им развернуть инструменты и похитить хэшей паролей.
Злоумышленники могут ждать, пока пользователь сам перезагрузит компьютер, либо сгенерировать сообщение о том, что перезагрузка требуется. Контроль безопасности можно отключить из безопасного режима, изменив ключи реестра.
Антивирусы Microsoft, Trend Micro, McAfee и Avira были неспособны справиться с атакой, так как их просто отключили в безопасном режиме. Эксперт рекомендует администраторам подумать о мерах безопасности, которые будут работать в безопасном режиме.
Центр мониторинга и управления сетью связи общего пользования, созданный на базе Федерального государственного унитарного предприятия «Главный радиочастотный центр» (ФГУП «ГРЧЦ»), судя по всему, стал объектом кибератаки 31 декабря.
Телеграм-канал IEM SECURITY сегодня опубликовал короткий пост:
«ANTIDDOS BY ROSKOMNADZOR DOWNED, 200-150 RPS PER SECONDS».
Однако мы, попробовав зайти на сайт https://noc.gov.ru/ru/ напрямую, обнаружили, что всё прекрасно открывается. Видимо, специалисты уже успели восстановить работу веб-ресурса, с чем их и поздравляем.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
