Tryb awaryjny to droga do ominięcia zabezpieczeń Windowsa 10. Microsoft nie widzi w tym problemu

Możliwość uruchomienia Windowsa 10 w trybie awaryjnym (SafeMode) otwiera drogę do interesujących ataków na zasoby siecilokalnych, co może być wykorzystane we wszystkich organizacjachkorzystających z komputerów z tym systemem. Izraelski badacz DoronNaim z firmy CyberArk przygotował atak, który pozwala na łatweprzejęcie loginów i haseł dla każdego, kto ma dostęp dokomputera. Co na to Microsoft? Niestety na łatkę nie ma co liczyć.

Tryb awaryjny Windowsa to relikt przeszłości – powstał wlatach 90, z myślą o stworzeniu lekkiego środowiska do naprawianiaproblemów niemożliwych do naprawiania w normalnym trybie pracysystemu. Czy ktoś wtedy myślał o bezpieczeństwie? Wręczprzeciwnie, wymogi jakie postawiono, w praktyce uniemożliwiłydziałanie w trybie awaryjnym większości mechanizmów zabezpieczeń.Pozwala to współczesnym napastnikom na różne ciekawe sztuczki,takie właśnie jak choćby uruchomienie narzędzi do pozyskiwaniahaseł użytkowników.

Doron Naim pokazał bardzo interesującą ścieżkę ataku, którazainteresować może przede wszystkim korporacyjnych szpiegów.Pierwszym krokiem jest dostanie się do organizacji – choćby jakostażysta. Nie jest to wcale trudne, badacz przypomina, że wostatnim raporciefirmy FireEye, 84% organizacji przyznało, że przynajmniej raz padłoofiarą spear-phishingu. Mając dostęp do komputera, napastnik możenastępnie uzyskać prawa administratora, wykorzystując licznedostępne na rynku exploity – choć nierzadko nie musi, sąorganizacje, w których użytkownicy domyślnie mają całkiemwysokie uprawnienia.

Normalnie by spenetrować sieci lokalne, napastnicy wówczaspróbują ominąć korporacyjne zabezpieczenia końcówek (endpointsecurity), wyszukując dostępnych loginów i haseł. Nie jest tołatwe, praktycznie każdy duży dostawca narzędzi ochronnychoferuje organizacjom oprogramowanie, które bardzo utrudnia działanietakich żniwiarek haseł. Niekiedy nawet nie trzeba nic dodatkowokupować. Windows 10 Enterprise przynosi nowy komponent o nazwieVirtual Secure Module, chroniony mechanizmami wirtualizacji kontener,w którym można przechowywać wrażliwe dane, takie jak kluczeszyfrujące, czy dane logowania użytkowników itp. Sieć z takimkontenerem jest odporna na próby penetracji poprzez przejęcielokalnie zbuforowanych danych, przechowywanych na kontachużytkowników domeny.

Pod warunkiem, że Virtual Secure Module działa. A w trybieawaryjnym moduł ten nie działa. Zdalnie zmuszając końcówkę dorestartu w trybie awaryjnym, napastnik więc zyskuje pełną swobodędziałania, ponieważ zabezpieczenia nie działają. Nie ma teżproblemu z przejęciem haszy uwierzytelnienia potrzebnych doporuszania się w sieci lokalnej. Jak twierdzi izraelski badacz, atakpass-the-hashdziała bez problemu, nie trzeba siłowo odwracać funkcji skrótudla uzyskania hasła.

Tak więc, aby przeprowadzić atak, napastnik musi kolejno:

• zmienić ustawienia systemowe tak, by podczas następnegorestartu system wszedł w tryb awaryjny (można zrobić to za pomocąedytora BCDEdit, służącego do zarządzania magazynem danychkonfiguracji rozruchu). Wówczas po restarcie Windows załadujejedynie minimalny zbiór sterowników i usług niezbędnych dodziałania, bez podłączenia do sieci.

• zmodyfikować narzędzia ataku tak, by działały w trybieawaryjnym. Nie jest to trudne, odkrywca luki proponuje albo stworzyćzłośliwą usługę, która będzie ładowana w trybie awaryjnym,albo zarejestrować złośliwy obiekt COM, ładowany przez powłokęsystemową, gdy próbuje ona wczytać ikony. Wówczas to szpiegowskieoprogramowanie uruchomi się automatycznie, zyskując np. dostęp doLocal Security Authority Service systemu i wydobywając z niegologiny i hashe.

• ostatnim krokiem jest zrestartowanie komputera i przejście donastępnej fazy ataku. To wszystko można zrobić nawet pod nosemofiary, bez wzbudzania jej podejrzeń i alarmowania administratora.Można np. przygotować fałszywe okienko z wiadomością, że systemwymaga restartu ze względu na aktualizację. Który użytkownik temuodmówi?

Przeprowadzone w CyberArk testy pokazały, że w ten sposóbnapastnik może wykraść dane uwierzytelniania (fałszując ekranlogowania tak, by użytkownik myślał, że po restarcie do trybuawaryjnego wciąż jest w normalnym trybie i wpisywał swoje danelogowania do domeny – potem wystarczy mu wyświetlić okienko zprośbą o restart, bo aktualizacja), może też niezauważalnieprzemierzać sieć lokalną, przejmując hashe atakiem pass-the-hash(tu sugeruje się wykorzystanie złośliwej usługi).

To jednak nie wszystko, ponieważ tryb awaryjny daje dużemożliwości uszkodzenia zabezpieczeń działających w trybienormalnym. Izraelskim badaczom udało się to zrobić m.in. z WndowsDefenderem, Trend Micro Maximum Security 10 i McAfee Live Safe.

Dla firmy z Redmond ta luka nie jest żadną luką – tooficjalne stanowisko Microsoft Security Response Center, któreotrzymało zgłoszenie o zagrożeniu w maju br. Uznano, że skoronapastnik już musi mieć dostęp do maszyny, to nie jest to lukabezpieczeństwa (trzecie niezmienne prawo bezpieczeństwa, wersja2.0). Ludzie z CyberArk uważają jednak inaczej, opublikowaliwięc szczegółowyopis zagrożenia, wraz z poradami mającymi utrudnić tego typuataki przez tryb awaryjny.

To przede wszystkim usunięcie uprawnień lokalnychadministratorów użytkownikom, częsta rotacja haseł użytkownikówuprzywilejowanych (tak by lokalnie przechowywane kopie hashy stawałysię nieważne), stosowanie zabezpieczeń działających także wtrybie awaryjnym i śledzenie w logach przejawów zastosowania trybuawaryjnego.