遠程安全模式的攻擊失敗的Windows10通的哈希防御.遠程控制軟件,灰鴿子下載

admin

遠程安全模式的攻擊失敗的Windows10通的哈希防御.遠程控制軟件,灰鴿子下載
為了避免被發(fā)現(xiàn)和阻止他們的密碼提取工具，攻擊者可以遠程重啟電腦進入安全模式

微軟試圖保護用戶帳戶憑據(jù)失竊在Windows 10的企業(yè)和安全產品檢測試圖竊取用戶密碼。但是，所有這些努力可以通過安全模式，根據(jù)安全研究人員被撤消。

安全模式是操作的OS診斷模式已經存在，因為Windows 95，可以在開機的時候被激活，只加載最小集的Windows運行所需的服務和驅動程序。

這意味著大多數(shù)的第三方軟件，包括安全產品，不以安全模式啟動，否定，否則他們提供的保護。此外，也有Windows可選的功能，如在虛擬安全模塊（VSM），其不以這種模式下運行。

VSM存在于可用于關鍵業(yè)務與系統(tǒng)的其余部分，包括本地安全授權子系統(tǒng)服務（LSASS）隔離的Windows 10企業(yè)虛擬機容器。在LSASS處理用戶身份驗證。如果VSM是積極的，甚至沒有管理用戶可以訪問其他系統(tǒng)的用戶密碼或密碼哈希值。

在Windows網(wǎng)絡中，攻擊者不一定需要明文口令訪問某些服務。在許多情況下，認證過程依賴于密碼的加密哈希，所以有工具來破壞Windows機器中提取這種散列，并用它們來訪問其他服務。

這種側向運動技術被稱為傳遞的哈希并且是用于虛擬安全模塊（VSM）是為了防止攻擊之一。

然而，從CyberArk軟件安全研究人員意識到，自從和VSM，可以阻止密碼提取工具不以安全模式啟動等安全產品，攻擊者可以用它來繞過防御。

同時，也有辦法來遠程強行電腦進入安全模式未經用戶提出懷疑，CyberArk研究員多倫納伊姆在博客中說。

拉過這樣的攻擊，黑客首先需要獲得受害者的電腦，這是不是在現(xiàn)實世界中的安全漏洞不尋常的管理權限。

攻擊者使用各種技術來感染惡意軟件的計算機，然后通過利用未打補丁的權限提升漏洞，或者使用社會工程學欺騙用戶升級他們的特權。

一旦攻擊者的計算機上的管理員權限，他可以修改操作系統(tǒng)的啟動配置，以迫使其自動進入安全模式它是下一次啟動時。然后，他可以配置一個流氓的服務或COM對象在此模式下啟動，盜取密碼，然后重新啟動計算機。

Windows是否正常顯示的指標，該操作系統(tǒng)是在安全模式下，它可以提醒用戶，但也有圍繞該方式，奈姆說。

首先，要強制重新啟動時，攻擊者可能會顯示一個提示類似，當一臺電腦需要重新啟動才能安裝掛起更新由Windows所示。然后，一旦在安全模式下，惡意COM對象可以更改桌面背景等元素，使其看起來操作系統(tǒng)仍然在正常模式下，研究人員說。

如果攻擊者希望捕捉用戶的憑據(jù)，他們需要讓用戶登錄，但如果他們的目標只是執(zhí)行傳遞的哈希攻擊，他們可以簡單地強制背到后端重啟這將是無法區(qū)分用戶，奈姆說。

CyberArk報告的問題，但他認為微軟不認為這是一個安全漏洞，因為攻擊者需要妥協(xié)計算機并在第一時間獲得管理權限。

雖然修補程序可能沒有著落，還有一些企業(yè)可以采取保護自己免受此類攻擊一些緩解步驟，奈姆說。這些措施包括從標準用戶刪除本地管理員權限，旋轉特權帳戶憑據(jù)現(xiàn)有無效的密碼哈希頻繁，使用的安全工具正常運行，即使在安全模式下并加入機制被警告計算機啟動到安全模式時。