Хакеры используют безопасный режим Windows для кражи паролей

248

Американская компания из сферы кибербезопасности CyberArk обнаружила несколько разновидностей хакерских взломов, которые киберпреступники применяют, используя безопасный режим Windows. Так, злоумышленники могут использовать данный режим для кражи логинов и паролей пользователей, отключения приложения безопасности.

Безопасный режим Windows позволяет проводить атаки незамеченными, собирать логины и пароли и отключать приложения безопасности, если получить права администратора. Это возможно при использовании множества вредоносных приложений для Windows.

Система Windows позволяет приложениям выдавать запрос на перезагрузку и загружаться в безопасном режиме. Здесь не запускаются все сторонние приложения, в том числе антивирусы. Хакеры могут изменить значение ключей реестра для антивирусов, что в обычном режиме работы вызовет появление предупреждения.

Нужно только заставить пользователей перезагрузить компьютер и не удивляться тому, что он загружается в безопасном режиме, что сделать тоже непросто. Однако, существует достаточно пользователей с низким уровнем компьютерной подготовки, с которыми этот трюк может сработать. После выполнения вредоносных команд компьютер снова загрузится в обычном режиме.

Используя атаку типа Pass-the-Hash и специальные инструменты, можно получить доступ к логинам и паролям. Эти инструменты могут быть установлены внутри сервисов и объектов COM. Далее можно собирать хеши паролей NTLM и превращать их в текст. Эти атаки не считаются проблемой в системе безопасности и Microsoft вряд ли может что-то сделать по их поводу.