Хакеры могут похитить учетные данные, используя безопасный режим

Хакеры могут похитить учетные данные, используя безопасный режим

Исследователь в области безопасности Doron Naim нашел способ, позволяющий хакерам красть учетные данные пользователей Windows 10, используя безопасный режим.

Эксперт объясняет, что проводящий атаку злоумышленник должен иметь доступ к атакуемому компьютеру, чтобы была возможность перезагрузить его в безопасном режиме и воспользоваться наличием меньших функций безопасности.

После того, как компьютер будет перезагружен в безопасном режиме, злоумышленник может украсть данные логина. Это делается путем показа пользователю поддельного экрана входа в систему, для этого используется техника эмулирования с помощью COM-объекта. Данные, которые пользователь введет затем на этом поддельном экране попадут прямиком в руки злоумышленников.

«После того, как злоумышленники получат права локального администратора на зараженном компьютере, они смогут удаленно активировать безопасный режим» - говорит Naim.

«В безопасном режиме злоумышленники могут свободно запускать инструменты для сбора учетных данных, оставаясь при этом незамеченными. Эта атака может также сработать, несмотря на наличие модуля Virtual Secure».

Microsoft не сможет исправить эту уязвимость, так как она подразумевает, что у хакеров уже есть доступ компьютеру.

Эксперт утверждает, что получить доступ к, по крайней мере, одному компьютеру в организации легко, что доказывает исследование.

Безопасный режим позволяет избежать множества мер безопасности, включая модуль Virtual Security, которые в противном случае будут служить ограничением возможностей злоумышленников и не позволят им развернуть инструменты и похитить хэшей паролей.

Злоумышленники могут ждать, пока пользователь сам перезагрузит компьютер, либо сгенерировать сообщение о том, что перезагрузка требуется. Контроль безопасности можно отключить из безопасного режима, изменив ключи реестра.

Антивирусы Microsoft, Trend Micro, McAfee и Avira были неспособны справиться с атакой, так как их просто отключили в безопасном режиме. Эксперт рекомендует администраторам подумать о мерах безопасности, которые будут работать в безопасном режиме.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google закрыла в Chrome две 0-day, показанные на Pwn2Own 2024

Google оперативно устранила в Chrome две уязвимости нулевого дня (0-day), которые исследователи показали в ходе соревнования Pwn2Own 2024. Помимо этого, разработчики закрыли ещё пять дыр в браузере.

Одна из 0-day получила идентификатор CVE-2024-2887 и высокую степень риска. Класс этой бреши — несоответствие используемых типов данных (type confusion) в стандарте WebAssembly (Wasm).

На эту уязвимость указал Манфред Пол в первый день состязания Pwn2Own 2024, проходившего в Ванкувере. Эксперт также «пробил» и другие браузеры: Safari и Edge.

Вторую 0-day нашли исследователи из KAIST Hacking Lab. Её отслеживают под идентификатором CVE-2024-2886 (ошибка использования динамической памяти — use-after-free). Брешь затрагивает API WebCodecs, предназначенный для кодирования и декодирования аудио- и видеоконтента.

Сынхён Ли из KAIST Hacking Lab продемонстрировал удалённое выполнение кода на устройстве целевого пользователя с помощью эксплойта для CVE-2024-2886.

С выходом Google Chrome версий 123.0.6312.86/.87 (для Windows, macOS) и 123.0.6312.86 (для Linux) разработчики устранили перечисленные проблемы.

Напомним, на днях Mozilla тоже закрыла две 0-day в Firefox, показанные на Pwn2Own 2024. Девелоперы браузеров отработали качественно и оперативно, что не может не радовать.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru