远程安全模式的攻击失败的Windows10通的哈希防御.远程控制软件,灰鸽子下载

admin

远程安全模式的攻击失败的Windows10通的哈希防御.远程控制软件,灰鸽子下载
为了避免被发现和阻止他们的密码提取工具，攻击者可以远程重启电脑进入安全模式

微软试图保护用户帐户凭据失窃在Windows 10的企业和安全产品检测试图窃取用户密码。但是，所有这些努力可以通过安全模式，根据安全研究人员被撤消。

安全模式是操作的OS诊断模式已经存在，因为Windows 95，可以在开机的时候被激活，只加载最小集的Windows运行所需的服务和驱动程序。

这意味着大多数的第三方软件，包括安全产品，不以安全模式启动，否定，否则他们提供的保护。此外，也有Windows可选的功能，如在虚拟安全模块（VSM），其不以这种模式下运行。

VSM存在于可用于关键业务与系统的其余部分，包括本地安全授权子系统服务（LSASS）隔离的Windows 10企业虚拟机容器。在LSASS处理用户身份验证。如果VSM是积极的，甚至没有管理用户可以访问其他系统的用户密码或密码哈希值。

在Windows网络中，攻击者不一定需要明文口令访问某些服务。在许多情况下，认证过程依赖于密码的加密哈希，所以有工具来破坏Windows机器中提取这种散列，并用它们来访问其他服务。

这种侧向运动技术被称为传递的哈希并且是用于虚拟安全模块（VSM）是为了防止攻击之一。

然而，从CyberArk软件安全研究人员意识到，自从和VSM，可以阻止密码提取工具不以安全模式启动等安全产品，攻击者可以用它来绕过防御。

同时，也有办法来远程强行电脑进入安全模式未经用户提出怀疑，CyberArk研究员多伦纳伊姆在博客中说。

拉过这样的攻击，黑客首先需要获得受害者的电脑，这是不是在现实世界中的安全漏洞不寻常的管理权限。

攻击者使用各种技术来感染恶意软件的计算机，然后通过利用未打补丁的权限提升漏洞，或者使用社会工程学欺骗用户升级他们的特权。

一旦攻击者的计算机上的管理员权限，他可以修改操作系统的启动配置，以迫使其自动进入安全模式它是下一次启动时。然后，他可以配置一个流氓的服务或COM对象在此模式下启动，盗取密码，然后重新启动计算机。

Windows是否正常显示的指标，该操作系统是在安全模式下，它可以提醒用户，但也有围绕该方式，奈姆说。

首先，要强制重新启动时，攻击者可能会显示一个提示类似，当一台电脑需要重新启动才能安装挂起更新由Windows所示。然后，一旦在安全模式下，恶意COM对象可以更改桌面背景等元素，使其看起来操作系统仍然在正常模式下，研究人员说。

如果攻击者希望捕捉用户的凭据，他们需要让用户登录，但如果他们的目标只是执行传递的哈希攻击，他们可以简单地强制背到后端重启这将是无法区分用户，奈姆说。

CyberArk报告的问题，但他认为微软不认为这是一个安全漏洞，因为攻击者需要妥协计算机并在第一时间获得管理权限。

虽然修补程序可能没有着落，还有一些企业可以采取保护自己免受此类攻击一些缓解步骤，奈姆说。这些措施包括从标准用户删除本地管理员权限，旋转特权帐户凭据现有无效的密码哈希频繁，使用的安全工具正常运行，即使在安全模式下并加入机制被警告计算机启动到安全模式时。