|
|
遠(yuǎn)程安全模式的攻擊失敗的Windows10通的哈希防御.遠(yuǎn)程控制軟件,灰鴿子下載![]()
為了避免被發(fā)現(xiàn)和阻止他們的密碼提取工具,攻擊者可以遠(yuǎn)程重啟電腦進(jìn)入安全模式
微軟試圖保護(hù)用戶帳戶憑據(jù)失竊在Windows 10的企業(yè)和安全產(chǎn)品檢測(cè)試圖竊取用戶密碼����。但是,所有這些努力可以通過(guò)安全模式�,根據(jù)安全研究人員被撤消。
安全模式是操作的OS診斷模式已經(jīng)存在����,因?yàn)閃indows 95,可以在開機(jī)的時(shí)候被激活�,只加載最小集的Windows運(yùn)行所需的服務(wù)和驅(qū)動(dòng)程序。
這意味著大多數(shù)的第三方軟件�,包括安全產(chǎn)品,不以安全模式啟動(dòng)�����,否定��,否則他們提供的保護(hù)�����。此外�,也有Windows可選的功能,如在虛擬安全模塊(VSM)����,其不以這種模式下運(yùn)行���。
VSM存在于可用于關(guān)鍵業(yè)務(wù)與系統(tǒng)的其余部分,包括本地安全授權(quán)子系統(tǒng)服務(wù)(LSASS)隔離的Windows 10企業(yè)虛擬機(jī)容器�。在LSASS處理用戶身份驗(yàn)證�����。如果VSM是積極的�,甚至沒有管理用戶可以訪問(wèn)其他系統(tǒng)的用戶密碼或密碼哈希值。
在Windows網(wǎng)絡(luò)中���,攻擊者不一定需要明文口令訪問(wèn)某些服務(wù)����。在許多情況下����,認(rèn)證過(guò)程依賴于密碼的加密哈希,所以有工具來(lái)破壞Windows機(jī)器中提取這種散列���,并用它們來(lái)訪問(wèn)其他服務(wù)���。
這種側(cè)向運(yùn)動(dòng)技術(shù)被稱為傳遞的哈希并且是用于虛擬安全模塊(VSM)是為了防止攻擊之一����。
然而��,從CyberArk軟件安全研究人員意識(shí)到�����,自從和VSM���,可以阻止密碼提取工具不以安全模式啟動(dòng)等安全產(chǎn)品�����,攻擊者可以用它來(lái)繞過(guò)防御����。
同時(shí)����,也有辦法來(lái)遠(yuǎn)程強(qiáng)行電腦進(jìn)入安全模式未經(jīng)用戶提出懷疑,CyberArk研究員多倫納伊姆在博客中說(shuō)���。
拉過(guò)這樣的攻擊�����,黑客首先需要獲得受害者的電腦����,這是不是在現(xiàn)實(shí)世界中的安全漏洞不尋常的管理權(quán)限。
攻擊者使用各種技術(shù)來(lái)感染惡意軟件的計(jì)算機(jī)����,然后通過(guò)利用未打補(bǔ)丁的權(quán)限提升漏洞�����,或者使用社會(huì)工程學(xué)欺騙用戶升級(jí)他們的特權(quán)�。
一旦攻擊者的計(jì)算機(jī)上的管理員權(quán)限,他可以修改操作系統(tǒng)的啟動(dòng)配置����,以迫使其自動(dòng)進(jìn)入安全模式它是下一次啟動(dòng)時(shí)。然后���,他可以配置一個(gè)流氓的服務(wù)或COM對(duì)象在此模式下啟動(dòng)���,盜取密碼�����,然后重新啟動(dòng)計(jì)算機(jī)��。
Windows是否正常顯示的指標(biāo)���,該操作系統(tǒng)是在安全模式下,它可以提醒用戶��,但也有圍繞該方式�,奈姆說(shuō)。
首先��,要強(qiáng)制重新啟動(dòng)時(shí)�,攻擊者可能會(huì)顯示一個(gè)提示類似,當(dāng)一臺(tái)電腦需要重新啟動(dòng)才能安裝掛起更新由Windows所示��。然后��,一旦在安全模式下��,惡意COM對(duì)象可以更改桌面背景等元素�����,使其看起來(lái)操作系統(tǒng)仍然在正常模式下,研究人員說(shuō)����。
如果攻擊者希望捕捉用戶的憑據(jù),他們需要讓用戶登錄��,但如果他們的目標(biāo)只是執(zhí)行傳遞的哈希攻擊���,他們可以簡(jiǎn)單地強(qiáng)制背到后端重啟這將是無(wú)法區(qū)分用戶�����,奈姆說(shuō)。
CyberArk報(bào)告的問(wèn)題�����,但他認(rèn)為微軟不認(rèn)為這是一個(gè)安全漏洞���,因?yàn)楣粽咝枰讌f(xié)計(jì)算機(jī)并在第一時(shí)間獲得管理權(quán)限��。
雖然修補(bǔ)程序可能沒有著落���,還有一些企業(yè)可以采取保護(hù)自己免受此類攻擊一些緩解步驟����,奈姆說(shuō)��。這些措施包括從標(biāo)準(zhǔn)用戶刪除本地管理員權(quán)限�,旋轉(zhuǎn)特權(quán)帳戶憑據(jù)現(xiàn)有無(wú)效的密碼哈希頻繁,使用的安全工具正常運(yùn)行���,即使在安全模式下并加入機(jī)制被警告計(jì)算機(jī)啟動(dòng)到安全模式時(shí)���。
|
|
加載中...
發(fā)表于 2016-9-18 01:20:22
QQ好友和群
收藏