آزمایشگاه CyberArk بهتازگی موفق به شناسایی تهدیدی شده که آن را ریسک پیرامون حالت امن ویندوز نامیده است. این تهدید نه تنها سیستمعاملهای دسکتاپ، بلکه سیستمعاملهای سرور را نیز تهدید میکند. هنگامیکه هکرها موفق شوند از محیط بوت ایمن عبور کرده و به مجوزهای محلی مدیران روی یک کامپیوتر مجهز به سیستمعامل ویندوز دست پیدا کنند، میتوانند ویژگی بوت ایمن از راه دور را فعال سازند.
دوران نعیم، کارشناس امنیتی آزمایشگاه CyberArk، پژوهشگری است که این مکانیزم حمله را شناسایی کرده است؛ حملهای که به هکرها اجازه میدهد از حالت امن ویندوز 10 برای به سرقت بردن جزئیات مربوط به لاگین استفاده کنند. هکرهای راه دور بر مبنای این مکانیزم حمله ابتدا باید به کامپیوتر قربانی دسترسی داشته باشند. در ادامه باید کامپیوتر قربانی را در حالت بوت ایمن راهاندازی کنند. سیستمی که در حالت بوت ایمن راهاندازی میشود، از کنترلهای امنیتی کمتری در این محیط استفاده میکند. پس از آنکه سیستم در حالت بوت ایمن راهاندازی شد، هکرها میتوانند جزئیات مربوط به لاگین را به سرقت ببرند و از تکنیکهای دیگری همچون pass-the-hash برای نفوذ به دیگر ماشینهای تحت شبکه استفاده کنند.
برای آنکه بتوان از ضعف موجود در Safe Mode نهایت استفاده را کرد، هکرها باید سه مرحله را با موفقیت به سرانجام برسانند:
1. تنظیمات سیستم را تغییر دهند تا در مدتزمان بوت بعدی سیستمعامل را به سمت بوت ایمن هدایت کنند.
2. ابزارهای حمله را بهمنظور بارگذاری در بوت ایمن پیکربندی کنند.
3. در راهاندازی بعدی ماشین را مجبور کنند تا اکسپلویت را اجرا کند.
در حالیکه در ظاهر چنین به نظر میرسد که پیادهسازی این مراحل کار مشکلی خواهد بود، اما در عمل بهسادگی انجام میشود و کاربر بههیچوجه متوجه نکته مشکوکی نخواهد شد. برای آنکه یک ماشین ویندوزی را مجبور کنید در راهاندازی بعدی به محیط بوت ایمن وارد شود، باید از ابزار BCDEdit برای پیکربندی تنظیمات راهاندازی در حالت Minimal Safe Boot استفاده کنید. زمانیکه این تغییر اعمال شد، در فرایند راهاندازی بعدی تنها درایورها و سرویسهای متعلق به ویندوز اجرا خواهند شد و همچنین سیستم این قابلیت را نخواهد داشت تا به اینترنت متصل شود. در گام بعد هکر باید ابزار خود را به گونهای آماده کند که در حالت بوت ایمن اجرا شود. به دو روش این کار انجام میشود؛ هکر میتواند یک سرویس مخرب را که بهمنظور بارگذاری در حالت بوت ایمن پیکربندی شده است، استفاده کند یا میتواند از یک Com object مخرب استفاده کند. در این تکنیک یک شی COM مخرب که explorer.exe آن را بارگذاری میکند، در سیستم نصب میشود. این شی اجازه میدهد کد هکر هر زمان که explorer.exe نیازمند بارگذاری مؤلفههایی است، فراخوانی شود.
زمانی که هکرها از این سد عبور کنند و موفق شوند دسترسی مدیریتی محلی به سیستم ویندوزی را به دست آوردند، در ادامه میتوانند ویژگی بوت ایمن از راه دور را با دستکاری چند ویژگی امنیتی نقطه پایانی فعال کنند. در حالت بوت ایمن، هکرها میتوانند آزادانه ابزارهای مدنظر خود را اجرا کنند و در حالی که ناشناس هستند، سراغ سامانههای متصل بروند. در حالی که مایکروسافت از ماژول امن مجازی مایکروسافت در سیستمعامل ویندوز 10 استفاده میکند، باز هم پیادهسازی چنین حملهای در ویندوز 10 امکانپذیر است؛ به دلیل اینکه در حالت بوت ایمن ماژول امن مجازی مایکروسافت اجرا نمیشود. این ماژول بهمنظور محدود کردن توانایی هکرها برای بهرهمندی از ابزارها و به سرقت بردن گذرواژههای درهم (passwords hashes) طراحی شده است. نعیم در این باره گفته است: «گزارشی که شرکت FireEye در سال گذشته میلادی منتشر کرد، نشان داد که بسیاری از سازمانها قربانی حملات فیشینگ هدفدار شدهاند. در نتیجه هکرها بهسادگی میتوانند حداقل به یک سامانه مجهز به سیستمعامل ویندوز در هر سازمانی دست پیدا کنند. این مکانیزم حمله بسیار انعطافپذیر است. به دلیل اینکه الگوی ضبط اطلاعات اعتباری و انتقال پس از آن میتواند چندین بار از سوی هکرها به مرحله اجرا درآید. این کار بهمنظور حصول اطمینان از دریافت درست و دقیق اطلاعات انجام میشود.»
در این مکانیزم حمله، هکرها میتوانند به انتظار بنشینند تا قربانی سیستم خود را یکبار راهاندازی کند یا میتوانند پیغام هشداری به قربانی نشان دهند و او را متقاعد کنند سیستم خود را مجدداً راهاندازی کند. در آزمایشهایی که به همین منظور انجام شد، ابزار محبوب پس از بهرهبرداری موسوم به Mimikatz، استفاده شد. این آزمایش نشان داد زمانیکه سیستمی به حالت بوت ایمن وارد میشود، آنتیویروسهای مایکروسافت، ترندمیکرو، مکآفی و آویرا در آن غیرفعال هستند، در نتیجه امکان شناسایی این ابزار وجود ندارد. نعیم به مدیران توصیه کرده است جزئیات مربوط به مجوزهای اعتباری حسابها را برای مختل کردن حملات pass-the-hash به مرحله اجرا بگذارند. همچنین برای مدیران محلی حداقل سطوح اختیارات را تعیین کنند و از ابزارهای امنیتی که در حالت بوت ایمن اجرا میشوند، برای پیشگیری از بروز چنین حملاتی استفاده کنند.
ثبت نظر