r   e   k   l   a   m   a
r   e   k   l   a   m   a

Tryb awaryjny to droga do ominięcia zabezpieczeń Windowsa 10. Microsoft nie widzi w tym problemu

Strona główna AktualnościBEZPIECZEŃSTWO

Możliwość uruchomienia Windowsa 10 w trybie awaryjnym (Safe Mode) otwiera drogę do interesujących ataków na zasoby sieci lokalnych, co może być wykorzystane we wszystkich organizacjach korzystających z komputerów z tym systemem. Izraelski badacz Doron Naim z firmy CyberArk przygotował atak, który pozwala na łatwe przejęcie loginów i haseł dla każdego, kto ma dostęp do komputera. Co na to Microsoft? Niestety na łatkę nie ma co liczyć.

Tryb awaryjny Windowsa to relikt przeszłości – powstał w latach 90, z myślą o stworzeniu lekkiego środowiska do naprawiania problemów niemożliwych do naprawiania w normalnym trybie pracy systemu. Czy ktoś wtedy myślał o bezpieczeństwie? Wręcz przeciwnie, wymogi jakie postawiono, w praktyce uniemożliwiły działanie w trybie awaryjnym większości mechanizmów zabezpieczeń. Pozwala to współczesnym napastnikom na różne ciekawe sztuczki, takie właśnie jak choćby uruchomienie narzędzi do pozyskiwania haseł użytkowników.

Doron Naim pokazał bardzo interesującą ścieżkę ataku, która zainteresować może przede wszystkim korporacyjnych szpiegów. Pierwszym krokiem jest dostanie się do organizacji – choćby jako stażysta. Nie jest to wcale trudne, badacz przypomina, że w ostatnim raporcie firmy FireEye, 84% organizacji przyznało, że przynajmniej raz padło ofiarą spear-phishingu. Mając dostęp do komputera, napastnik może następnie uzyskać prawa administratora, wykorzystując liczne dostępne na rynku exploity – choć nierzadko nie musi, są organizacje, w których użytkownicy domyślnie mają całkiem wysokie uprawnienia.

r   e   k   l   a   m   a

Normalnie by spenetrować sieci lokalne, napastnicy wówczas próbują ominąć korporacyjne zabezpieczenia końcówek (endpoint security), wyszukując dostępnych loginów i haseł. Nie jest to łatwe, praktycznie każdy duży dostawca narzędzi ochronnych oferuje organizacjom oprogramowanie, które bardzo utrudnia działanie takich żniwiarek haseł. Niekiedy nawet nie trzeba nic dodatkowo kupować. Windows 10 Enterprise przynosi nowy komponent o nazwie Virtual Secure Module, chroniony mechanizmami wirtualizacji kontener, w którym można przechowywać wrażliwe dane, takie jak klucze szyfrujące, czy dane logowania użytkowników itp. Sieć z takim kontenerem jest odporna na próby penetracji poprzez przejęcie lokalnie zbuforowanych danych, przechowywanych na kontach użytkowników domeny.

Pod warunkiem, że Virtual Secure Module działa. A w trybie awaryjnym moduł ten nie działa. Zdalnie zmuszając końcówkę do restartu w trybie awaryjnym, napastnik więc zyskuje pełną swobodę działania, ponieważ zabezpieczenia nie działają. Nie ma też problemu z przejęciem haszy uwierzytelnienia potrzebnych do poruszania się w sieci lokalnej. Jak twierdzi izraelski badacz, atak pass-the-hash działa bez problemu, nie trzeba siłowo odwracać funkcji skrótu dla uzyskania hasła.

Tak więc, aby przeprowadzić atak, napastnik musi kolejno:

- zmienić ustawienia systemowe tak, by podczas następnego restartu system wszedł w tryb awaryjny (można zrobić to za pomocą edytora BCDEdit, służącego do zarządzania magazynem danych konfiguracji rozruchu). Wówczas po restarcie Windows załaduje jedynie minimalny zbiór sterowników i usług niezbędnych do działania, bez podłączenia do sieci.

- zmodyfikować narzędzia ataku tak, by działały w trybie awaryjnym. Nie jest to trudne, odkrywca luki proponuje albo stworzyć złośliwą usługę, która będzie ładowana w trybie awaryjnym, albo zarejestrować złośliwy obiekt COM, ładowany przez powłokę systemową, gdy próbuje ona wczytać ikony. Wówczas to szpiegowskie oprogramowanie uruchomi się automatycznie, zyskując np. dostęp do Local Security Authority Service systemu i wydobywając z niego loginy i hashe.

- ostatnim krokiem jest zrestartowanie komputera i przejście do następnej fazy ataku. To wszystko można zrobić nawet pod nosem ofiary, bez wzbudzania jej podejrzeń i alarmowania administratora. Można np. przygotować fałszywe okienko z wiadomością, że system wymaga restartu ze względu na aktualizację. Który użytkownik temu odmówi?

Przeprowadzone w CyberArk testy pokazały, że w ten sposób napastnik może wykraść dane uwierzytelniania (fałszując ekran logowania tak, by użytkownik myślał, że po restarcie do trybu awaryjnego wciąż jest w normalnym trybie i wpisywał swoje dane logowania do domeny – potem wystarczy mu wyświetlić okienko z prośbą o restart, bo aktualizacja), może też niezauważalnie przemierzać sieć lokalną, przejmując hashe atakiem pass-the-hash (tu sugeruje się wykorzystanie złośliwej usługi).

To jednak nie wszystko, ponieważ tryb awaryjny daje duże możliwości uszkodzenia zabezpieczeń działających w trybie normalnym. Izraelskim badaczom udało się to zrobić m.in. z Wndows Defenderem, Trend Micro Maximum Security 10 i McAfee Live Safe.

Jak się zabezpieczyć?

Dla firmy z Redmond ta luka nie jest żadną luką – to oficjalne stanowisko Microsoft Security Response Center, które otrzymało zgłoszenie o zagrożeniu w maju br. Uznano, że skoro napastnik już musi mieć dostęp do maszyny, to nie jest to luka bezpieczeństwa (trzecie niezmienne prawo bezpieczeństwa, wersja 2.0). Ludzie z CyberArk uważają jednak inaczej, opublikowali więc szczegółowy opis zagrożenia, wraz z poradami mającymi utrudnić tego typu ataki przez tryb awaryjny.

To przede wszystkim usunięcie uprawnień lokalnych administratorów użytkownikom, częsta rotacja haseł użytkowników uprzywilejowanych (tak by lokalnie przechowywane kopie hashy stawały się nieważne), stosowanie zabezpieczeń działających także w trybie awaryjnym i śledzenie w logach przejawów zastosowania trybu awaryjnego.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.