Tryb awaryjny to droga do ominięcia zabezpieczeń Windowsa 10. Microsoft nie widzi w tym problemu

Tryb awaryjny to droga do ominięcia zabezpieczeń Windowsa 10. Microsoft nie widzi w tym problemu16.09.2016 11:40

Możliwość uruchomienia Windowsa 10 w trybie awaryjnym (SafeMode) otwiera drogę do interesujących ataków na zasoby siecilokalnych, co może być wykorzystane we wszystkich organizacjachkorzystających z komputerów z tym systemem. Izraelski badacz DoronNaim z firmy CyberArk przygotował atak, który pozwala na łatweprzejęcie loginów i haseł dla każdego, kto ma dostęp dokomputera. Co na to Microsoft? Niestety na łatkę nie ma co liczyć.

Tryb awaryjny Windowsa to relikt przeszłości – powstał wlatach 90, z myślą o stworzeniu lekkiego środowiska do naprawianiaproblemów niemożliwych do naprawiania w normalnym trybie pracysystemu. Czy ktoś wtedy myślał o bezpieczeństwie? Wręczprzeciwnie, wymogi jakie postawiono, w praktyce uniemożliwiłydziałanie w trybie awaryjnym większości mechanizmów zabezpieczeń.Pozwala to współczesnym napastnikom na różne ciekawe sztuczki,takie właśnie jak choćby uruchomienie narzędzi do pozyskiwaniahaseł użytkowników.

Doron Naim pokazał bardzo interesującą ścieżkę ataku, którazainteresować może przede wszystkim korporacyjnych szpiegów.Pierwszym krokiem jest dostanie się do organizacji – choćby jakostażysta. Nie jest to wcale trudne, badacz przypomina, że wostatnim raporciefirmy FireEye, 84% organizacji przyznało, że przynajmniej raz padłoofiarą spear-phishingu. Mając dostęp do komputera, napastnik możenastępnie uzyskać prawa administratora, wykorzystując licznedostępne na rynku exploity – choć nierzadko nie musi, sąorganizacje, w których użytkownicy domyślnie mają całkiemwysokie uprawnienia.

Normalnie by spenetrować sieci lokalne, napastnicy wówczaspróbują ominąć korporacyjne zabezpieczenia końcówek (endpointsecurity), wyszukując dostępnych loginów i haseł. Nie jest tołatwe, praktycznie każdy duży dostawca narzędzi ochronnychoferuje organizacjom oprogramowanie, które bardzo utrudnia działanietakich żniwiarek haseł. Niekiedy nawet nie trzeba nic dodatkowokupować. Windows 10 Enterprise przynosi nowy komponent o nazwieVirtual Secure Module, chroniony mechanizmami wirtualizacji kontener,w którym można przechowywać wrażliwe dane, takie jak kluczeszyfrujące, czy dane logowania użytkowników itp. Sieć z takimkontenerem jest odporna na próby penetracji poprzez przejęcielokalnie zbuforowanych danych, przechowywanych na kontachużytkowników domeny.

Pod warunkiem, że Virtual Secure Module działa. A w trybieawaryjnym moduł ten nie działa. Zdalnie zmuszając końcówkę dorestartu w trybie awaryjnym, napastnik więc zyskuje pełną swobodędziałania, ponieważ zabezpieczenia nie działają. Nie ma teżproblemu z przejęciem haszy uwierzytelnienia potrzebnych doporuszania się w sieci lokalnej. Jak twierdzi izraelski badacz, atakpass-the-hashdziała bez problemu, nie trzeba siłowo odwracać funkcji skrótudla uzyskania hasła.

Tak więc, aby przeprowadzić atak, napastnik musi kolejno:

  • zmienić ustawienia systemowe tak, by podczas następnegorestartu system wszedł w tryb awaryjny (można zrobić to za pomocąedytora BCDEdit, służącego do zarządzania magazynem danychkonfiguracji rozruchu). Wówczas po restarcie Windows załadujejedynie minimalny zbiór sterowników i usług niezbędnych dodziałania, bez podłączenia do sieci.
  • zmodyfikować narzędzia ataku tak, by działały w trybieawaryjnym. Nie jest to trudne, odkrywca luki proponuje albo stworzyćzłośliwą usługę, która będzie ładowana w trybie awaryjnym,albo zarejestrować złośliwy obiekt COM, ładowany przez powłokęsystemową, gdy próbuje ona wczytać ikony. Wówczas to szpiegowskieoprogramowanie uruchomi się automatycznie, zyskując np. dostęp doLocal Security Authority Service systemu i wydobywając z niegologiny i hashe.
  • ostatnim krokiem jest zrestartowanie komputera i przejście donastępnej fazy ataku. To wszystko można zrobić nawet pod nosemofiary, bez wzbudzania jej podejrzeń i alarmowania administratora.Można np. przygotować fałszywe okienko z wiadomością, że systemwymaga restartu ze względu na aktualizację. Który użytkownik temuodmówi?

Przeprowadzone w CyberArk testy pokazały, że w ten sposóbnapastnik może wykraść dane uwierzytelniania (fałszując ekranlogowania tak, by użytkownik myślał, że po restarcie do trybuawaryjnego wciąż jest w normalnym trybie i wpisywał swoje danelogowania do domeny – potem wystarczy mu wyświetlić okienko zprośbą o restart, bo aktualizacja), może też niezauważalnieprzemierzać sieć lokalną, przejmując hashe atakiem pass-the-hash(tu sugeruje się wykorzystanie złośliwej usługi).

To jednak nie wszystko, ponieważ tryb awaryjny daje dużemożliwości uszkodzenia zabezpieczeń działających w trybienormalnym. Izraelskim badaczom udało się to zrobić m.in. z WndowsDefenderem, Trend Micro Maximum Security 10 i McAfee Live Safe.

Jak się zabezpieczyć?

Dla firmy z Redmond ta luka nie jest żadną luką – tooficjalne stanowisko Microsoft Security Response Center, któreotrzymało zgłoszenie o zagrożeniu w maju br. Uznano, że skoronapastnik już musi mieć dostęp do maszyny, to nie jest to lukabezpieczeństwa (trzecie niezmienne prawo bezpieczeństwa, wersja2.0). Ludzie z CyberArk uważają jednak inaczej, opublikowaliwięc szczegółowyopis zagrożenia, wraz z poradami mającymi utrudnić tego typuataki przez tryb awaryjny.

To przede wszystkim usunięcie uprawnień lokalnychadministratorów użytkownikom, częsta rotacja haseł użytkownikówuprzywilejowanych (tak by lokalnie przechowywane kopie hashy stawałysię nieważne), stosowanie zabezpieczeń działających także wtrybie awaryjnym i śledzenie w logach przejawów zastosowania trybuawaryjnego.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na