|
远程安全模式的攻击失败的Windows10通的哈希防御.远程控制软件,灰鸽子下载
为了避免被发现和阻止他们的密码提取工具,攻击者可以远程重启电脑进入安全模式
微软试图保护用户帐户凭据失窃在Windows 10的企业和安全产品检测试图窃取用户密码。但是,所有这些努力可以通过安全模式,根据安全研究人员被撤消。
安全模式是操作的OS诊断模式已经存在,因为Windows 95,可以在开机的时候被激活,只加载最小集的Windows运行所需的服务和驱动程序。
这意味着大多数的第三方软件,包括安全产品,不以安全模式启动,否定,否则他们提供的保护。此外,也有Windows可选的功能,如在虚拟安全模块(VSM),其不以这种模式下运行。
VSM存在于可用于关键业务与系统的其余部分,包括本地安全授权子系统服务(LSASS)隔离的Windows 10企业虚拟机容器。在LSASS处理用户身份验证。如果VSM是积极的,甚至没有管理用户可以访问其他系统的用户密码或密码哈希值。
在Windows网络中,攻击者不一定需要明文口令访问某些服务。在许多情况下,认证过程依赖于密码的加密哈希,所以有工具来破坏Windows机器中提取这种散列,并用它们来访问其他服务。
这种侧向运动技术被称为传递的哈希并且是用于虚拟安全模块(VSM)是为了防止攻击之一。
然而,从CyberArk软件安全研究人员意识到,自从和VSM,可以阻止密码提取工具不以安全模式启动等安全产品,攻击者可以用它来绕过防御。
同时,也有办法来远程强行电脑进入安全模式未经用户提出怀疑,CyberArk研究员多伦纳伊姆在博客中说。
拉过这样的攻击,黑客首先需要获得受害者的电脑,这是不是在现实世界中的安全漏洞不寻常的管理权限。
攻击者使用各种技术来感染恶意软件的计算机,然后通过利用未打补丁的权限提升漏洞,或者使用社会工程学欺骗用户升级他们的特权。
一旦攻击者的计算机上的管理员权限,他可以修改操作系统的启动配置,以迫使其自动进入安全模式它是下一次启动时。然后,他可以配置一个流氓的服务或COM对象在此模式下启动,盗取密码,然后重新启动计算机。
Windows是否正常显示的指标,该操作系统是在安全模式下,它可以提醒用户,但也有围绕该方式,奈姆说。
首先,要强制重新启动时,攻击者可能会显示一个提示类似,当一台电脑需要重新启动才能安装挂起更新由Windows所示。然后,一旦在安全模式下,恶意COM对象可以更改桌面背景等元素,使其看起来操作系统仍然在正常模式下,研究人员说。
如果攻击者希望捕捉用户的凭据,他们需要让用户登录,但如果他们的目标只是执行传递的哈希攻击,他们可以简单地强制背到后端重启这将是无法区分用户,奈姆说。
CyberArk报告的问题,但他认为微软不认为这是一个安全漏洞,因为攻击者需要妥协计算机并在第一时间获得管理权限。
虽然修补程序可能没有着落,还有一些企业可以采取保护自己免受此类攻击一些缓解步骤,奈姆说。这些措施包括从标准用户删除本地管理员权限,旋转特权帐户凭据现有无效的密码哈希频繁,使用的安全工具正常运行,即使在安全模式下并加入机制被警告计算机启动到安全模式时。
|
|