merto
Опытный user
- Регистрация
- 20 Дек 2021
- Сообщения
- 182
- Реакции
- 9
Cотрудником из CyberArk Labs был обнаружен способ хищения учетных данных путем эксплуатации безопасного режима (Safe Mode), реализованного в ОС Windows.
Для осуществления успешной атаки злоумышленнику для начала необходимо получить доступ с привилегиями локального администратора к компьютеру или серверу под управлением Windows. После этого злоумышленник может удаленно активировать безопасный режим для обхода средств защиты. Уже в безопасном режиме киберпреступник может запускать различные инструменты для сбора учетных данных и компрометации других компьютеров в сети. При этом он остается незамеченным на протяжении всего времени.
Данный метод работает на всех версиях Windows, включая Windows 10, несмотря на реализованный в данной версии модуль VSM (Microsoft Virtual Secure Module).
Напомним, безопасный режим загружает только основные службы и функции, которые необходимы для запуска Windows. Также он блокирует запуск сторонних служб и программ, в том числе инструментов безопасности. В результате злоумышленники могут удаленно запустить безопасный режим на скомпрометированных компьютерах и впоследствии осуществить атаки.
Успешная эксплуатация проблемы предполагает три обязательных этапа:
Для осуществления успешной атаки злоумышленнику для начала необходимо получить доступ с привилегиями локального администратора к компьютеру или серверу под управлением Windows. После этого злоумышленник может удаленно активировать безопасный режим для обхода средств защиты. Уже в безопасном режиме киберпреступник может запускать различные инструменты для сбора учетных данных и компрометации других компьютеров в сети. При этом он остается незамеченным на протяжении всего времени.
Данный метод работает на всех версиях Windows, включая Windows 10, несмотря на реализованный в данной версии модуль VSM (Microsoft Virtual Secure Module).
Напомним, безопасный режим загружает только основные службы и функции, которые необходимы для запуска Windows. Также он блокирует запуск сторонних служб и программ, в том числе инструментов безопасности. В результате злоумышленники могут удаленно запустить безопасный режим на скомпрометированных компьютерах и впоследствии осуществить атаки.
Успешная эксплуатация проблемы предполагает три обязательных этапа:
- изменение системных настроек для активации безопасного режима во время следующей загрузки операционной системы;
- создание вредоносных инструментов для загрузки в безопасном режиме;
- осуществление принудительной перезагрузки компьютера для эксплуатации уязвимости.
