Специалисты Illusive Networks Магал Баз (Magal Baz) и Том Села (Tom Sela) обнаружили способ обойти защищенный вход на компьютерах с Windows 10. Предложенный сценарий позволяет злоумышленникам закрепиться на машине своей жертвы.

Эксперты представили новую технику на конференции Black Hat Europe 2018, которая проходила в Лондоне с 3 по 6 декабря. Докладчики подчеркнули, что в атаке используются только лежащие на поверхности системные данные, не требующие внедрения стороннего кода.

Единственное ограничение для взломщика состоит в том, чтобы заранее обеспечить привилегированный доступ к целевому компьютеру. После этого он может удаленно менять пользовательские пароли и фактически неограниченно распоряжаться машиной.

Идея атаки возникла, когда специалисты заметили, что список секретных вопросов, которые Windows 10 задает пользователю при сбросе пароля, вшит в саму систему. Они решили поискать место хранения этой информации в реестре и попробовать ее отредактировать.

Как выяснилось, ответы на секретные вопросы, равно как и другие пользовательские пароли, сохраняются в реестре под записью LSA Secrets (LSA — Local Security Authority — система безопасности Windows, отвечает за авторизацию пользователей). Эти данные защищены AES-шифрованием, однако эксперты давно научились взламывать его ключ, а соответствующие инструкции доступны даже на официальных ресурсах Microsoft.

Редактируя запись LSA Secrets, злоумышленник может заменить значения секретных вопросов и ответов. После этого он сможет установить новый пароль — весь процесс проходит удаленно.

Эксперты отмечают, что на обновленном экране авторизации Windows 10 нет кнопки для сброса кодовой фразы. Однако при удаленном подключении через RDP пользователь может пренебречь сетевыми настройками авторизации (network-level autorisation) и вызвать стандартное окно, где такая опция есть.

После того как докладчики успешно обновили пароль на взломанном компьютере, они продемонстрировали способ закрепить скрытое присутствие. Для этого эксперты использовали особенность Windows, запрещающую повторно использовать какой-либо пароль из последних пяти использованных.

Чтобы контролировать исполнение этого правила, система сохраняет в реестре хеш-записи старых ключевых комбинаций. Используя легитимное ПО, взломщик может вручную поднять более ранний хеш, восстановив предыдущий код доступа. В результате злоумышленник может раз за разом проникать на компьютер и полностью удалять следы вмешательства на выходе.

Докладчики посоветовали администраторам внедрить дополнительные проверки пользователей и использовать групповые политики (Group Policy Object), которые блокируют изменение секретных вопросов. В настройках RDP следует запретить отмену действующих сетевых настроек доступа. Баз и Села также выразили надежду, что в будущем Microsoft разрешит пользователям устанавливать произвольные вопросы.

Это не первый случай, когда эксперты находят бреши в Windows 10. В июне исследователь описал уязвимость, связанную с обновленной панелью управления, где теперь вместо ярлыков используются XML-ссылки.

Позже в 64-битной версии ОС нашлись проблемы встроенного планировщика заданий, которые позволяли пользователю повысить свои привилегии. Одна из последних брешей и вовсе открывала возможность удалить любой файл на компьютере с Windows 10.

Категории: Главное, Уязвимости