Специалисты компании CyberArk рассказали, что безопасный режим в системах семейства Windows (включая Windows 10) может использоваться злоумышленниками, как один из векторов атак. К примеру, с помощью безопасного режима очень удобно похищать учетные данные или отключить защитные системы.
Описанные аналитиками CyberArk сценарии обусловлены не наличием каких-либо уязвимостей в системе, по сути, это лишь гипотетические варианты развития атаки. При этом описанные сценарии подразумевают, что атакующий уже проник в систему и скомпрометировал ее, получив привилегии администратора.
Исследователи пишут, что подобные атаки возможны в первую очередь за счет того, что в Windows приложениям разрешено принуждать пользователя к перезапуску системы, и при этом тайно перезагружать ее безопасном режиме. Сам безопасный режим, разумеется, интересен потенциальному злоумышленнику тем, что никакие сторонние приложения не запускаются вовсе, в том числе и антивирусные продукты. Так, в безопасном режиме атакующий может безболезненно внести изменения в реестр, «обезвредив» антивирусное ПО. Если бы система функционировала в штатном режиме, это неминуемо привело бы к срабатыванию защитных систем,
Разумеется, подобная атака должна строиться на введении пользователя в заблуждение. Жертву нужно убедить произвести перезагрузку компьютера, а также не дать ей заподозрить, что система запустилась в безопасном режиме. Исследователи отмечают, что выполнение необходимых команд в безопасном режиме, обычно, занимает совсем мало времени, после чего логично вернуть систему в нормальное состояние. Так как во время обновлений и установки ПО Windows часто требует перезагрузки, зачастую неоднократной, действия злоумышленников могут действительно не вызвать подозрений у пользователя.
Помимо отключения антивирусного ПО, безопасный режим может использоваться и для сбора учетных данных компьютеров, находящихся в той же сети, что и ПК жертвы. Для этого злоумышленники могут использовать технику атак Pass-the-Hash. Для такой атаки понадобятся дополнительные инструменты, и злоумышленнику придется замаскировать их внутри вредоносных сервисов и COM-объектов. Как только все необходимые тулзы заработают, атакующий сможет собрать хеши NTLM-паролей с «соседних» машин. Затем останется только взломать их, получив фактические пароли.
Также, по мнению исследователей, безопасный режим может использоваться для кражи учетных данных непосредственно с машины жертвы. К примеру, для этого можно осуществить перезагрузку ПК в безопасном режиме, затем показать жертве фальшивый экран входа в систему (использовав для этого COM-объекты), похитить учетные данные, которые введет пользователь, а затем вернуть систему к обычной работе.
Хотя специалисты CyberArk сообщили Microsoft обо всех своих опасениях, никаких уязвимостей, которые можно было бы исправить, здесь попросту нет. К тому же атаки подразумевают, что машина уже была скомпрометирована, так что в Microsoft сообщили, что не собираются ничего исправлять.
Подписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.
Генеральный директор «Аэрофлота» выпустил указ, согласно которому сотрудникам компании запрещается в рабочее время пользоваться телефонами, которые могут производить фото- и видеосъемку, а также аудиозапись.
Эту информацию опубликовал у себя в Twitter председатель совета благотворительного фонда «Нужна помощь» Митя Алешковский.
Исходя из текста приказа, использовать телефоны в офисах могут лишь сотрудники, занимающие определенные должности. Соответствующие должности перечислены в приложении к документу, которое, к сожалению, Алешковский не опубликовал.
«Приказ принят в рамках российского законодательства и направлен на охрану информационной безопасности в компании с госучастием. Последний информационный вброс, а именно фото данного приказа, сделан с применением камеры мобильного телефона, что свидетельствует о правильности решения», — передают «Ведомости» слова представителя компании.
Работников должны будут ознакомить с этим приказом под роспись, а также руководящий состав должен будет выявлять правонарушения и привлекать к дисциплинарной ответственности виновных. Контроль за исполнением приказа возложен на гендиректора по административному управлению «Аэрофлота» Василия Авилова.
Подписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
