Специалисты компании CyberArk рассказали, что безопасный режим в системах семейства Windows (включая Windows 10) может использоваться злоумышленниками, как один из векторов атак. К примеру, с помощью безопасного режима очень удобно похищать учетные данные или отключить защитные системы.
Описанные аналитиками CyberArk сценарии обусловлены не наличием каких-либо уязвимостей в системе, по сути, это лишь гипотетические варианты развития атаки. При этом описанные сценарии подразумевают, что атакующий уже проник в систему и скомпрометировал ее, получив привилегии администратора.
Исследователи пишут, что подобные атаки возможны в первую очередь за счет того, что в Windows приложениям разрешено принуждать пользователя к перезапуску системы, и при этом тайно перезагружать ее безопасном режиме. Сам безопасный режим, разумеется, интересен потенциальному злоумышленнику тем, что никакие сторонние приложения не запускаются вовсе, в том числе и антивирусные продукты. Так, в безопасном режиме атакующий может безболезненно внести изменения в реестр, «обезвредив» антивирусное ПО. Если бы система функционировала в штатном режиме, это неминуемо привело бы к срабатыванию защитных систем,
Разумеется, подобная атака должна строиться на введении пользователя в заблуждение. Жертву нужно убедить произвести перезагрузку компьютера, а также не дать ей заподозрить, что система запустилась в безопасном режиме. Исследователи отмечают, что выполнение необходимых команд в безопасном режиме, обычно, занимает совсем мало времени, после чего логично вернуть систему в нормальное состояние. Так как во время обновлений и установки ПО Windows часто требует перезагрузки, зачастую неоднократной, действия злоумышленников могут действительно не вызвать подозрений у пользователя.
Помимо отключения антивирусного ПО, безопасный режим может использоваться и для сбора учетных данных компьютеров, находящихся в той же сети, что и ПК жертвы. Для этого злоумышленники могут использовать технику атак Pass-the-Hash. Для такой атаки понадобятся дополнительные инструменты, и злоумышленнику придется замаскировать их внутри вредоносных сервисов и COM-объектов. Как только все необходимые тулзы заработают, атакующий сможет собрать хеши NTLM-паролей с «соседних» машин. Затем останется только взломать их, получив фактические пароли.
Также, по мнению исследователей, безопасный режим может использоваться для кражи учетных данных непосредственно с машины жертвы. К примеру, для этого можно осуществить перезагрузку ПК в безопасном режиме, затем показать жертве фальшивый экран входа в систему (использовав для этого COM-объекты), похитить учетные данные, которые введет пользователь, а затем вернуть систему к обычной работе.
Хотя специалисты CyberArk сообщили Microsoft обо всех своих опасениях, никаких уязвимостей, которые можно было бы исправить, здесь попросту нет. К тому же атаки подразумевают, что машина уже была скомпрометирована, так что в Microsoft сообщили, что не собираются ничего исправлять.
С 20 по 25 октября пройдёт CyberCamp 2025 — ежегодные онлайн-киберучения для специалистов по информационной безопасности. В этом году ключевая тема — киберустойчивость и то, как действовать в условиях постоянного давления со стороны атакующих.
Участникам предложат выйти за рамки привычных подходов к безопасности: от раннего обнаружения угроз до реагирования на кризисы и восстановления работы бизнеса.
В программе — более 40 выступлений, круглые столы и практические задания. Среди спикеров — эксперты из «Инфосистемы Джет», Positive Technologies, BI.ZONE, R-Vision, «Лаборатории Касперского» и других компаний.
Как и раньше, пройдут командные киберучения: отдельные лиги для корпоративных команд и студентов.
Предусмотрены и задания для индивидуальных участников, которые можно выполнять сразу после регистрации. Общение и обмен опытом будут проходить в открытом сообществе участников.
Организаторы ожидают около тысячи команд и до 30 тысяч специалистов, которые подключатся к эфиру. Участие бесплатное.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
