Специалисты компании CyberArk рассказали, что безопасный режим в системах семейства Windows (включая Windows 10) может использоваться злоумышленниками, как один из векторов атак. К примеру, с помощью безопасного режима очень удобно похищать учетные данные или отключить защитные системы.
Описанные аналитиками CyberArk сценарии обусловлены не наличием каких-либо уязвимостей в системе, по сути, это лишь гипотетические варианты развития атаки. При этом описанные сценарии подразумевают, что атакующий уже проник в систему и скомпрометировал ее, получив привилегии администратора.
Исследователи пишут, что подобные атаки возможны в первую очередь за счет того, что в Windows приложениям разрешено принуждать пользователя к перезапуску системы, и при этом тайно перезагружать ее безопасном режиме. Сам безопасный режим, разумеется, интересен потенциальному злоумышленнику тем, что никакие сторонние приложения не запускаются вовсе, в том числе и антивирусные продукты. Так, в безопасном режиме атакующий может безболезненно внести изменения в реестр, «обезвредив» антивирусное ПО. Если бы система функционировала в штатном режиме, это неминуемо привело бы к срабатыванию защитных систем,
Разумеется, подобная атака должна строиться на введении пользователя в заблуждение. Жертву нужно убедить произвести перезагрузку компьютера, а также не дать ей заподозрить, что система запустилась в безопасном режиме. Исследователи отмечают, что выполнение необходимых команд в безопасном режиме, обычно, занимает совсем мало времени, после чего логично вернуть систему в нормальное состояние. Так как во время обновлений и установки ПО Windows часто требует перезагрузки, зачастую неоднократной, действия злоумышленников могут действительно не вызвать подозрений у пользователя.
Помимо отключения антивирусного ПО, безопасный режим может использоваться и для сбора учетных данных компьютеров, находящихся в той же сети, что и ПК жертвы. Для этого злоумышленники могут использовать технику атак Pass-the-Hash. Для такой атаки понадобятся дополнительные инструменты, и злоумышленнику придется замаскировать их внутри вредоносных сервисов и COM-объектов. Как только все необходимые тулзы заработают, атакующий сможет собрать хеши NTLM-паролей с «соседних» машин. Затем останется только взломать их, получив фактические пароли.
Также, по мнению исследователей, безопасный режим может использоваться для кражи учетных данных непосредственно с машины жертвы. К примеру, для этого можно осуществить перезагрузку ПК в безопасном режиме, затем показать жертве фальшивый экран входа в систему (использовав для этого COM-объекты), похитить учетные данные, которые введет пользователь, а затем вернуть систему к обычной работе.
Хотя специалисты CyberArk сообщили Microsoft обо всех своих опасениях, никаких уязвимостей, которые можно было бы исправить, здесь попросту нет. К тому же атаки подразумевают, что машина уже была скомпрометирована, так что в Microsoft сообщили, что не собираются ничего исправлять.
Александр Винник, обменянный на гражданина США Марка Фогеля, в настоящее время находится в специальной зоне и ожидает отправки в Россию. Об этом сообщил его адвокат Фредерик Бело.
По словам Бело, американский маршал, ответственный за сопровождение Винника в рамках обмена, прибыл еще 12 февраля. Он ожидает, что Винник прибудет в Россию в ближайшие дни.
«Сейчас он находится в особой зоне в ожидании трансфера. Маршрут его перемещения не раскрывается, это конфиденциальная информация. Мы ждем подтверждения, что он в самолете и направляется в Россию», — заявил адвокат.
Александр Винник был арестован в Греции в 2017 году. Ему предъявили обвинения в отмывании от 4 до 9 миллиардов долларов и возможной причастности к атаке на биржу Mt. Gox.
Позднее обвинения в мошенничестве и краже личных данных выдвинули французские власти, после чего в 2020 году его экстрадировали во Францию. Там суд приговорил его к пяти годам заключения. В 2022 году Винник был передан в США, где до 12 февраля 2024 года продолжалось разбирательство.
В России против Винника также выдвинуты обвинения в мошенничестве на сумму 750 миллионов рублей, и в 2018 году он был заочно арестован.
Фредерик Бело отметил, что его подзащитный был обменян в приоритетном порядке по гуманитарным причинам:
«Для него это было тяжелое время. Он не смог проститься с женой перед ее смертью. Сейчас ему необходимо восстановить связь с семьей, с детьми, которых он не видел много лет». Адвокат также выразил уверенность в невиновности Винника.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
