Fern abgesicherten Modus Angriff besiegt Windows-10 Pass-the-Hash-Abwehr

Fern abgesicherten Modus Angriff besiegt Windows-10 Pass-the-Hash-Abwehr

Microsoft versucht, auf Benutzerkontoinformationen von Diebstahl in Windows 10 Unternehmen zu schützen und Sicherheitsprodukte erkennen Versuche, Benutzer-Passwörter zu entwenden. Aber alle diese Bemühungen durch den abgesicherten Modus, nach Sicherheitsforscher rückgängig gemacht werden.

Der Safe Mode ist ein OS-Diagnosebetriebsmodus, der seit Windows 95. existiert Es kann beim Booten und nur Lasten aktiviert werden die minimale Menge von Diensten und Treibern, die zum ausführen von Windows erforderlich sind.

das bedeutet, dass die meisten Software von Drittanbietern, einschließlich Sicherheitsprodukte, beginnen nicht im abgesicherten Modus, um den Schutz zu negieren sie sonst bieten. Darüber hinaus gibt es auch optionale Features von Windows wie das Virtual Secure Module (VSM), die in diesem Modus nicht ausgeführt werden.

Nun beobachten

  • Fixing 10 Windows-Datenschutzprobleme (3,17)
  • der beste Weg, auf Malware zu überprüfen

VSM ist eine virtuelle Maschine Container in 10 Windows Enterprise, die verwendet werden können kritische Dienste vom Rest des Systems zu isolieren, einschließlich die Local Security Authority Subsystem Service (LSASS). Der LSASS steuert die Benutzerauthentifizierung. Wenn VSM aktiv ist, auch nicht administrative Benutzer die Passwörter oder Passwort-Hashes von anderen System Benutzer zugreifen können.

Auf Windows-Netzwerken, Angreifer müssen nicht Klartext-Passwörter müssen auf bestimmte Dienste zuzugreifen. In vielen Fällen setzt der Authentifizierungsprozess auf der verschlüsselten Hash-Passwort, so gibt es Tools wie Hashes von kompromittierten Windows-Rechnern zu extrahieren und nutzen sie andere Dienste zugreifen zu können.

Diese seitliche Bewegungstechnik ist bekannt als Pass-the -hash und ist einer der Angriffe, dass Virtual Secure Module (VSM) wurde gegen schützen soll.

Allerdings Sicherheitsforscher von CyberArk Software erkannt, dass da VSM und andere Sicherheitsprodukte, die Passwort-Extraktion Werkzeuge don ‚blockieren könnten t Start im abgesicherten Modus, Angreifer könnte es verwenden Verteidigung zu umgehen.

Jetzt ansehen

  • Wie sie Windows 10 im abgesicherten Modus (01.35)
  • Winging es mit dem Chroma eingeben und Libelle Drohnen

Inzwischen gibt es Möglichkeiten, um remote-Computer in den abgesicherten Modus zwingen, ohne Verdacht von Nutzern zu erheben, CyberArk Forscher Doron Naim sagte in einem Blog-Post.

abziehen, einen solchen Angriff, würde ein Hacker ersten administrativen Zugriff auf dem Computer des Opfers zu gewinnen müssen, die in der realen Welt Sicherheitsverletzungen.

Angreifer verwenden verschiedene Techniken zu infizieren Computer mit Malware nicht so ungewöhnlich ist, und dann eskalieren ihre Privilegien durch ungepatchten privilege escalation Mängel zu nutzen oder durch Social Engineering verwenden, um Benutzer zu betrügen.

Sobald ein Angreifer Administratorrechte auf einem Computer hat, kann er das Betriebssystem des Boot-Konfiguration ändern, um es zu zwingen, um automatisch im abgesicherten Modus die Eingabetaste nächste Mal, wenn es gestartet wird. Er kann dann einen böswilligen Dienst oder COM-Objekt konfigurieren in diesem Modus zu stehlen, das Passwort zu starten und dann den Computer neu starten.

Windows normal Indikatoren zeigt, dass das Betriebssystem im abgesicherten Modus ist, die Benutzer alarmieren könnte, aber gibt es Möglichkeiten, um das, sagte Naim.

Zuerst einen Neustart zu erzwingen, kann der Angreifer, das dem abgebildeten die von Windows eine Eingabeaufforderung ähnlich angezeigt wird, wenn ein Computer neu gestartet werden muss anstehenden Updates zu installieren. Dann, wenn im abgesicherten Modus, der bösartige COM-Objekt könnte den Desktop-Hintergrund ändern und andere Elemente, um es scheint, dass das Betriebssystem noch im normalen Modus befindet, so der Forscher.

Wenn Angreifer wollen ein Benutzeranmeldeinformationen zu erfassen sie müssen die Benutzer anmelden, lassen aber wenn ihr Ziel nur ist eine Pass-the-Hash-Angriff auszuführen, können sie einfach ein back-to-back-Neustart erzwingen, die für den Benutzer nicht zu unterscheiden sein würde, sagte Naim.

CyberArk berichtete das Problem, aber behauptet, dass Microsoft nicht als Sicherheitslücke nicht sehen, weil Angreifer müssen den Computer zu gefährden und die Administratorrechte in erster Linie gewinnen.

Während ein Patch könnte nicht ausbleiben, gibt es einige Milderung Schritte sind, die Unternehmen, sich gegen solche Angriffe zu schützen, nehmen konnte, sagte Naim. Dazu gehören das Entfernen lokale Administratorrechte von Standardbenutzer, rotierenden privilegierten Kontodaten ungültig Passwort-Hashes bestehenden häufig, mit Sicherheits-Tools, die ordnungsgemäß sogar im abgesicherten Modus funktionieren und das Hinzufügen von Mechanismen benachrichtigt zu werden, wenn eine Maschine startet im abgesicherten Modus.

q , q

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.