Эксперт нашел способ использовать безопасный режим в Windows для хищения учетных данных

Сотрудник CyberArk Labs Дорон Наим (Doron Naim) обнаружил способ хищения учетных данных путем эксплуатации безопасного режима (Safe Mode), реализованного в ОС Windows.

По словам исследователя, для успешной атаки злоумышленнику сначала потребуется получить доступ с привилегиями локального администратора к компьютеру или серверу под управлением Windows. Далее злоумышленник может удаленно активировать безопасный режим для обхода средств защиты. В безопасном режиме преступник может запускать различные инструменты для сбора учетных данных и компрометации других компьютеров в сети, оставаясь незамеченным на протяжении всего времени. Как отметил Наим, данный метод работает на всех версиях Windows, в том числе Windows 10, несмотря на реализованный в данной версии модуль VSM (Microsoft Virtual Secure Module).

Безопасный режим загружает только основные службы и функции, необходимые для запуска Windows и блокирует запуск сторонних служб и программ, в том числе инструментов безопасности. В результате злоумышленники могут удаленно запустить безопасный режим на скомпрометированных компьютерах и впоследствии осуществить атаки. Учитывая популярность Windows, под угрозой находятся миллиарды компьютеров и серверов на базе данной ОС по всему миру, отметил Наим.

Успешная эксплуатация проблемы предполагает три этапа: изменение системных настроек для активации безопасного режима во время следующей загрузки операционной системы, создание вредоносных инструментов для загрузки в безопасном режиме и осуществление принудительной перезагрузки компьютера для эксплуатации уязвимости.