Исследователь в области безопасности Doron Naim нашел способ, позволяющий хакерам красть учетные данные пользователей Windows 10, используя безопасный режим.
Эксперт объясняет, что проводящий атаку злоумышленник должен иметь доступ к атакуемому компьютеру, чтобы была возможность перезагрузить его в безопасном режиме и воспользоваться наличием меньших функций безопасности.
После того, как компьютер будет перезагружен в безопасном режиме, злоумышленник может украсть данные логина. Это делается путем показа пользователю поддельного экрана входа в систему, для этого используется техника эмулирования с помощью COM-объекта. Данные, которые пользователь введет затем на этом поддельном экране попадут прямиком в руки злоумышленников.
«После того, как злоумышленники получат права локального администратора на зараженном компьютере, они смогут удаленно активировать безопасный режим» - Naim.
«В безопасном режиме злоумышленники могут свободно запускать инструменты для сбора учетных данных, оставаясь при этом незамеченными. Эта атака может также сработать, несмотря на наличие модуля Virtual Secure».
Microsoft не сможет исправить эту уязвимость, так как она подразумевает, что у хакеров уже есть доступ компьютеру.
Эксперт утверждает, что получить доступ к, по крайней мере, одному компьютеру в организации легко, что доказывает .
Безопасный режим позволяет избежать множества мер безопасности, включая модуль Virtual Security, которые в противном случае будут служить ограничением возможностей злоумышленников и не позволят им развернуть инструменты и похитить хэшей паролей.
Злоумышленники могут ждать, пока пользователь сам перезагрузит компьютер, либо сгенерировать сообщение о том, что перезагрузка требуется. Контроль безопасности можно отключить из безопасного режима, изменив ключи реестра.
Антивирусы Microsoft, Trend Micro, McAfee и Avira были неспособны справиться с атакой, так как их просто отключили в безопасном режиме. Эксперт рекомендует администраторам подумать о мерах безопасности, которые будут работать в безопасном режиме.
Сервис аренды электросамокатов Whoosh рассказал, в каких российских городах пользователи чаще всего сталкивались со сбоями мобильного интернета. Для этого компания посмотрела на статистику поездок, которые запускались через СМС, то есть без доступа к мобильной сети.
По данным Whoosh, с 30 марта по 19 апреля число таких поездок выросло в шесть раз по сравнению с первыми тремя неделями после запуска функции.
Больше всего СМС-стартов зафиксировали в Москве, Санкт-Петербурге и Краснодаре. В компании считают, что именно в этих городах пользователи чаще сталкивались с пропажей мобильного интернета.
Пики пришлись на 2 и 13 апреля. В эти дни количество СМС-поездок было в 2–2,2 раза выше среднего дневного уровня.
При этом в Whoosh называют проблему ограниченной. Большинство пользователей завершали поездки уже через приложение, когда связь снова появлялась. Это может говорить о том, что отключения были точечными и недолгими.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
