Gli hacker possono utilizzare la modalità provvisoria di Windows per rubare segretamente le credenziali di accesso al PC

0
10

I ricercatori di sicurezza hanno annunciato che la modalità provvisoria di Windows non è così sicura come si crede, considerando che la funzionalità presenta un “rischio significativo”. Tuttavia, Microsoft è stata informata del problema, ma ancora Microsoft non ha agito in quanto non ritiene che si tratti di una “vulnerabilità valida”.

Gli hacker possono utilizzare la modalità provvisoria di Windows per rubare segretamente le credenziali di accesso al PC

Ricercatori di sicurezza dei CyberArk Labs, una società di sicurezza delle informazioni che offre sicurezza degli account privilegiati, funzionalità di diagnostica annunciate di Windows, modalità provvisoria, può essere utilizzato come vettore di attacco in remoto dagli hacker che hanno accesso a un PC o a obiettivi server.

Il metodo di questo attacco è stato valutato dai ricercatori come un metodo non comune e focalizza l’attenzione su uno strumento utilizzato per risolvere i problemi sul PC e rimuovere le minacce alla sicurezza. I ricercatori hanno anche affermato di aver creato una serie di attacchi proof of concept che sfruttano lo strumento Modalità provvisoria di Windows come vettore di attacco.

Secondo i ricercatori di sicurezza, per un attacco di successo, l’attaccante dovrà prima ottenere l’accesso ai privilegi di amministratore locale su un computer o un server che esegue Windows. Quindi un utente malintenzionato potrebbe attivare in remoto la modalità provvisoria per aggirare la protezione.

In modalità provvisoria, l’autore del reato può eseguire una varietà di strumenti per raccogliere credenziali e compromettere altri computer della rete senza essere notato in ogni momento. Come ricercatore sulla sicurezza, Doron Naim ha affermato che questo metodo funziona su tutte le versioni di Windows, incluso Windows 10, nonostante la presenza del Virtual Secure Module (VSM) di Microsoft.

Come tutti sappiamo, la funzionalità Modalità provvisoria di Windows carica solo i servizi e le funzioni essenziali necessari per eseguire Windows e blocca l’avvio di servizi e programmi di terze parti, inclusi gli strumenti di sicurezza. Di conseguenza, gli aggressori possono eseguire in remoto la modalità provvisoria su un computer compromesso e quindi eseguire l’attacco molto facilmente.

Inoltre, l’attaccante può anche utilizzare le tecniche, come l’oggetto COM che è pericoloso. La tecnica dell’oggetto COM viene utilizzata per eseguire codice che cambierà lo sfondo, l’aspetto della modalità provvisoria, quindi, facendo apparire la modalità provvisoria di Windows come se l’utente fosse ancora in modalità normale.

Data la capacità di Windows di consentire alle applicazioni di aiutare gli utenti a riavviare i PC, gli hacker possono bloccare questo processo per riavviare segretamente i sistemi in modalità provvisoria. Come dimostra che a causa di queste semplici funzionalità miliardi di computer e server sono minacciati sulla base di questo sistema operativo in tutto il mondo, ha affermato Doron Naim.

Lo sfruttamento riuscito del problema prevede tre passaggi: modificare le impostazioni per attivare la modalità provvisoria per la prossima volta che si carica il sistema operativo, la creazione di strumenti dannosi per il caricamento in modalità provvisoria e l’implementazione del riavvio forzato del computer da sfruttare la vulnerabilità.

Inoltre, i ricercatori della società di sicurezza delle informazioni CyberArk hanno confermato di aver informato Microsoft dei problemi. Tuttavia, il colosso della tecnologia Microsoft non ha ancora agito su di esso, in quanto non ritiene che si tratti di una “vulnerabilità valida”, che in realtà “richiede che un utente malintenzionato abbia già compromesso la macchina”.

LEAVE A REPLY

Please enter your comment!
Please enter your name here