Безопасный режим Windows, наоборот, очень небезопасен
Безопасный режим Windows был полезной функцией для специалистов по безопасности с момента его появления на рынке в 1995 году. Хотя компьютеры и кибербезопасность сильно изменились за эти годы, он по-прежнему остается важным инструментом. С его помощью можно разобраться в определенных проблемах с компьютером или удалить вредоносное ПО.
Поскольку безопасный режим был разработан для обеспечения стабильности и эффективности, запуск стороннего программного обеспечения (да, включая инструменты безопасности) невозможен. CyberArk Labs недавно обнаружила серьезный недостаток в этой конструкции.
Согласно отчету CyberArk, после того, как злоумышленник сможет войти и получить права локального администратора на зараженном компьютере, он может удаленно активировать безопасный режим Windows, чтобы «обойти меры безопасности конечных точек и управлять ими».
Эта атака представляет собой особую уязвимость, поскольку злоумышленники могут превратить поврежденные конечные точки в точки для инициирования атак с передачей хэша. Благодаря этому злоумышленники могут получить доступ к большему количеству машин, и атака продолжается по порочной спирали. «В конечном счете, — утверждает CyberArk, — [это может] поставить под угрозу всю среду Windows».
Люди могут знать или не знать, что проникнуть в компьютерную сеть, чтобы получить доступ хотя бы к одной машине, несложно. Чтобы доказать это, в статье обсуждался недавний отчет FireEye о том, что «84% опрошенных организаций признались, что стали жертвами как минимум одной атаки целевого фишинга в 2015 году».
После того, как злоумышленник получает доступ к компьютеру с Windows, что, как мы видим, довольно часто, он может либо работать с существующими административными привилегиями, либо использовать метод для повышения таких привилегий.
Это очень распространенный сценарий. Отсюда злоумышленник ищет на конечных точках учетные данные, которые помогают ему перемещаться по сети. Собственно, именно для этого и был создан Microsoft VSM, или Virtual Secure Module. Он эффективно работает «на уровне конечной точки, чтобы ограничить использование инструментов атаки и защитить учетные данные от атак с передачей хэша».
Однако интересно то, что эти инструменты работают в обычном, а не в безопасном режиме. Из-за существенной конструкции безопасного режима Windows он «не загружает никакое программное обеспечение или драйверы, которые не являются критическими для работы Windows. ”
Итак, я думаю, что все, кто занимается кибербезопасностью, видят, к чему все идет. Без защиты VSM или других средств защиты конечных точек злоумышленники могут свободно перемещаться по вашей машине. Кроме того, CyberArk сообщает, что в безопасном режиме злоумышленники могут «захватывать хэши учетных данных, необходимые для горизонтального перемещения в среде, несмотря на заявления Microsoft о том, что риски передачи хэша были снижены».
Примеры эксплойтов
CyberArk Labs собрала пример эксплойта, чтобы специалисты по безопасности могли точно понять, как может произойти эта атака и, следовательно, как ее предотвратить. Они также обязательно указали на то, что эта модель захвата учетных данных и горизонтального перемещения может повторяться много раз, пока в конечном итоге не будет достигнута компрометация домена.
Их пошаговый процесс использования этой уязвимости в безопасном режиме Windows выглядит следующим образом:
1. Переведите операционную систему в безопасный режим во время следующей перезагрузки, удаленно настроив машину.
Для этого можно использовать BCDEdit, чтобы система загружалась в минимальном безопасном режиме. После того, как злоумышленник успешно завершит это, компьютер загрузится в минимальном безопасном режиме. Минимальный безопасный режим — это вариант загрузки в безопасном режиме Windows по умолчанию; эта конфигурация запускает только те драйверы и службы, которые абсолютно необходимы для запуска Windows. Это также ограничивает подключения к Интернету и сети.
2. Организуйте загрузку инструментов атаки в безопасном режиме.
Как известно, безопасный режим загружает лишь небольшой набор драйверов и инструментов, поэтому злоумышленники должны найти способ разрешить запуск своих инструментов атаки в этом режиме. CyberArk поясняет, что это можно сделать несколькими способами, два из которых включают вредоносный сервис и вредоносный COM-объект.
С помощью Malicious Service злоумышленники могут создать вредоносную программу, которая загружается в безопасном режиме и может быть включена в первоначальную полезную нагрузку злоумышленника. Вместо этого злоумышленники могут «зарегистрировать вредоносный COM-объект, загружаемый программой explorer.exe. Это позволяет запускать код злоумышленника каждый раз, когда файлу explorer.exe необходимо анализировать значки». Интересно, что это работает в безопасном режиме Windows.
Соответственно, вредоносный код будет на месте и автоматически запустится во время следующей перезагрузки, легко избегая мер безопасности конечных точек, которые приостановлены в минимальном безопасном режиме. Как заявляет CyberArk: «В этом состоянии злоумышленник может свободно использовать свои инструменты для кражи учетных данных из LSASS.exe, а затем повторно использовать эти учетные данные для продолжения атаки по пути бокового перемещения и повышения привилегий».
3. Принудительно перезагрузите компьютер, запустив эксплойт.
Это легко сделать разными способами, в том числе прямо из командной строки в обычном режиме.
Но ждать! Как злоумышленник делает это незаметно для жертвы? Конечно, злоумышленник может произвольно принудительно перезапустить систему, но это, скорее всего, покажется пользователю подозрительным и потребует телефонного звонка в ИТ-команду. Вместо этого, чтобы оставаться незамеченным, злоумышленник также может либо дождаться следующей перезагрузки, либо показать жертве окно «обновления» с сообщением о том, что ПК необходимо перезагрузить. Это окно «обновления» может быть специально спроектировано так, чтобы оно выглядело как законное всплывающее окно Windows.
Далее, в зависимости от цели злоумышленника, есть несколько методов, которые он может использовать, чтобы продолжать оставаться скрытым от жертвы. Давайте рассмотрим приемы, основанные на цели атакующего:
- Кража учетных данных. Если цель злоумышленника — украсть учетные данные для будущего использования, то злоумышленник фактически хочет, чтобы пользователь вошел в систему. Когда пользователь входит в систему, злоумышленник может перехватить учетные данные. В этом случае злоумышленник, скорее всего, будет использовать метод COM-объекта для выполнения кода, который изменит фон, внешний вид и поведение в безопасном режиме, создав впечатление, что пользователь все еще находится в обычном режиме. Как только пользователь вводит свои учетные данные, второе окно «обновления» может предложить пользователю еще раз перезагрузиться, чтобы вернуть машину в фактический нормальный режим. Как упоминалось выше, это вторичное приглашение на перезагрузку может имитировать законное приглашение Windows, чтобы пользователь не заметил ничего подозрительного.
- Боковое движение. Если целью злоумышленника является выполнение атаки с передачей хэша с использованием ранее скомпрометированных учетных данных, то злоумышленнику не требуется, чтобы пользователь входил в систему. В этом случае злоумышленнику лучше создать сервис. Во время перезагрузки служба может автоматически запустить код для выполнения атаки с передачей хэша, а затем немедленно снова перезагрузить машину обратно в нормальный режим. Эти последовательные перезапуски неразличимы для пользователя и, таким образом, еще больше мешают пользователю заметить, что что-то пошло не так. Основываясь на тестах, проведенных CyberArk Labs, мы обнаружили, что этот метод очень эффективен для незаметного обеспечения бокового движения.
Существует также еще один способ использования безопасного режима Windows, который был протестирован на McAfee LiveSafe, Avira Free Antivirus, Trend Micro Maximum Security 10 и Защитнике Windows.
В этом случае злоумышленник сначала должен загрузить компьютер в минимальном безопасном режиме (и нормальный режим, и сетевой безопасный режим могут предотвратить этот тип атаки). Затем злоумышленник может получить доступ к разделам реестра, чтобы изменить или отключить конфигурации и решения для защиты конечных точек.
Как только это будет завершено, компьютер может быть перезагружен обратно в нормальный режим, и злоумышленник может продолжить работу без препятствий или риска быть заблокированным.
Решение
Итак, что мы можем сделать, чтобы это исправить?
CyberArk рекомендует следующие упреждающие советы:
- Эта атака может быть выполнена только на компьютерах с правами локального администратора. Поэтому удалите их у всех стандартных пользователей.
- Меняйте учетные данные привилегированной учетной записи. Любая атака с передачей хеша не может быть завершена, если хэш учетных данных все еще действителен. Чередование этих учетных данных помогает защитить сервер, регулярно аннулируя хэши паролей.
- Используйте инструменты безопасности, которые могут работать в безопасном режиме Windows, а не только в обычном режиме.
- Установите оповещение, чтобы сообщить вам, когда машина загружается в безопасном режиме Windows. Кроме того, следите за журналом событий Windows (хотя имейте в виду, что журнал событий Windows может быть не совсем надежным).
Пока патч не будет создан, обязательно следуйте этим рекомендациям. Если вы быстро узнаете об атаке, вы сможете лучше защитить своих клиентов (или себя!).