遥控安全模式攻击击败Windows 10 Pass-The-Hash防御
Microsoft尝试从Windows 10 Enterprise中的盗窃中保护用户帐户凭据,安全产品检测尝试窃取用户密码。但是,根据安全研究人员,所有这些努力都可以通过安全模式撤消。
安全模式是自Windows 95以来存在的操作系统诊断操作模式。它可以在启动时激活,只加载Windows需要运行的最小服务和驱动程序集。
这意味着大多数第三方软件,包括安全产品,否在安全模式下启动,否定他们提供的保护。此外,还有Windows可选功能,如虚拟安全模块(VSM),它在此模式下运行。
vsm是一个虚拟机容器,它在Windows 10 Enterprise中,可用于从系统的其余部分隔离关键服务,包括本地安全颁发机构子系统服务(LSASS)。LSASS处理用户身份验证。如果vsm处于活动状态,则甚至不均匀的管理用户可以访问其他系统用户的密码或密码。
在Windows网络上,攻击者Don“T必须需要纯粹的密码来访问某些服务。在许多情况下,身份验证过程依赖于密码的加密哈希,因此有工具可以从受损的Windows计算机中提取此类哈希,并使用它们访问其他服务。
这种横向运动技术称为通过哈希,并且是虚拟安全模块(VSM)旨在防止的攻击之一。
然而,来自Cyber Ark软件的安全研究人员意识到,由于VSM和其他可以阻止密码提取工具Don“T开始以安全模式,因此攻击者可以使用它来绕过防御。
同时,有些方法可以将计算机远程迫使计算机进入安全模式而不提出来自用户的疑似,Cyber Ark研究员Doron Naim在一个博客文章中说。
为了脱离这样的攻击,黑客将首先需要在受害者的计算机上获得管理访问,这在真实的安全漏洞中并不是那么不寻常。
攻击者使用各种技术来传染具有恶意软件的计算机,然后通过利用未括的特权升级缺陷或使用社交工程来欺骗用户来升级其特权。
一旦攻击者在计算机上具有管理员权限,他可以修改操作系统的启动配置,以强制下次启动时自动进入安全模式。然后,他可以突出一个流氓服务或COM对象以开始在此模式下,窃取密码然后重新启动计算机。
Windows通常会显示操作系统处于安全模式的指示器,可以提醒用户,但是,Naim表示,有些方法可以解决。
首先,要强制重新启动,攻击者可以在需要重新启动计算机时显示类似于Windows显示的提示以安装挂起更新。研究人员表示,然后在安全模式下,恶意COM对象可以更改桌面背景和其他元素,使OS似乎仍处于正常模式。
如果攻击者想要捕获用户的凭据,则需要让用户登录,但如果他们的目标只是执行传递哈希攻击,他们就可以强制强制重新重启Naim说,对用户毫无区别。
Cyber Ark报告了这个问题,但声称Microsoft并不将其视为安全漏洞,因为攻击者需要损害计算机并首先获得管理权限。
Naim表示,虽然不得不即将到来,有一些缓解步骤,但公司可以采取保护自己免受这种攻击。这些包括从标准用户删除本地管理员权限,旋转特权帐户凭据以常常使用即使在安全模式下运行的安全性工具以及在安全模式下机器靴子时要提醒机制的安全性工具,常常常常频繁地使现有的密码哈希哈希频繁哈希频繁。