آزمایشگاه CyberArk به‌تازگی موفق به شناسایی تهدیدی شده که آن را ریسک پیرامون حالت امن ویندوز نامیده است. این تهدید نه تنها سیستم‌عامل‌های دسکتاپ، بلکه سیستم‌عامل‌های سرور را نیز تهدید می‌کند. هنگامی‌که هکرها موفق شوند از محیط بوت ایمن عبور کرده و به مجوزهای محلی مدیران روی یک کامپیوتر مجهز به سیستم‌عامل ویندوز دست پیدا کنند، می‌توانند ویژگی بوت ایمن از راه دور را فعال سازند.


دوران نعیم، کارشناس امنیتی آزمایشگاه CyberArk، پژوهشگری است که این مکانیزم حمله را شناسایی کرده است؛ حمله‌ای که به هکرها اجازه می‌دهد از حالت امن ویندوز 10 برای به سرقت بردن جزئیات مربوط به لاگین استفاده کنند. هکرهای راه دور بر مبنای این مکانیزم حمله ابتدا باید به کامپیوتر قربانی دسترسی داشته باشند. در ادامه باید کامپیوتر قربانی را در حالت بوت ایمن راه‌اندازی کنند. سیستمی که در حالت بوت ایمن راه‌اندازی می‌شود، از کنترل‌های امنیتی کمتری در این محیط استفاده می‌کند. پس از آنکه سیستم در حالت بوت ایمن راه‌اندازی شد، هکرها می‌توانند جزئیات مربوط به لاگین را به سرقت ببرند و از تکنیک‌های دیگری همچون pass-the-hash برای نفوذ به دیگر ماشین‌های تحت شبکه استفاده کنند.


برای آنکه بتوان از ضعف موجود در Safe Mode نهایت استفاده را کرد، هکرها باید سه مرحله را با موفقیت به سرانجام برسانند:
1. تنظیمات سیستم را تغییر دهند تا در مدت‌زمان بوت بعدی سیستم‌عامل را به سمت بوت ایمن هدایت کنند.
2. ابزارهای حمله را به‌منظور بارگذاری در بوت ایمن پیکربندی کنند.
3. در راه‌اندازی بعدی ماشین را مجبور کنند تا اکسپلویت را اجرا کند.
در حالی‌که در ظاهر چنین به نظر می‌رسد که پیاده‌سازی این مراحل کار مشکلی خواهد بود، اما در عمل به‌سادگی انجام می‌شود و کاربر به‌هیچ‌وجه متوجه نکته مشکوکی نخواهد شد. برای آنکه یک ماشین ویندوزی را مجبور کنید در راه‌اندازی بعدی به محیط بوت ایمن وارد شود، باید از ابزار BCDEdit برای پیکربندی تنظیمات راه‌اندازی در حالت Minimal Safe Boot استفاده کنید. زمانی‌که این تغییر اعمال شد، در فرایند راه‌‌اندازی بعدی تنها درایورها و سرویس‌های متعلق به ویندوز اجرا خواهند شد و همچنین سیستم این قابلیت را نخواهد داشت تا به اینترنت متصل شود. در گام بعد هکر باید ابزار خود را به گونه‌ای آماده کند که در حالت بوت ایمن اجرا شود. به دو روش این کار انجام می‌شود؛ هکر می‌تواند یک سرویس مخرب را که به‌منظور بارگذاری در حالت بوت ایمن پیکربندی شده است، استفاده کند یا می‌تواند از یک Com object مخرب استفاده کند. در این تکنیک یک شی COM مخرب که explorer.exe آن را بارگذاری می‌کند، در سیستم نصب می‌شود. این شی اجازه می‌دهد کد هکر هر زمان که explorer.exe نیازمند بارگذاری مؤلفه‌هایی است، فراخوانی شود.
زمانی که هکرها از این سد عبور کنند و موفق شوند دسترسی مدیریتی محلی به سیستم ویندوزی را به دست آوردند، در ادامه می‌توانند ویژگی بوت ایمن از راه دور را با دستکاری چند ویژگی امنیتی نقطه پایانی فعال کنند. در حالت بوت ایمن، هکرها می‌توانند آزادانه ابزارهای مدنظر خود را اجرا کنند و در حالی که ناشناس هستند، سراغ سامانه‌های متصل بروند. در حالی که مایکروسافت از ماژول امن مجازی مایکروسافت در سیستم‌عامل ویندوز 10 استفاده می‌کند، باز هم پیاده‌سازی چنین حمله‌ای در ویندوز 10 امکان‌پذیر است؛ به دلیل اینکه در حالت بوت ایمن ماژول امن مجازی مایکروسافت اجرا نمی‌شود. این ماژول به‌منظور محدود کردن توانایی هکرها برای بهره‌مندی از ابزارها و به سرقت بردن گذرواژه‌های درهم (passwords hashes) طراحی شده است. نعیم در این باره گفته است: «گزارشی که شرکت FireEye در سال گذشته میلادی منتشر کرد، نشان داد که بسیاری از سازمان‌ها قربانی حملات فیشینگ هدف‌دار شده‌اند. در نتیجه هکرها به‌سادگی می‌توانند حداقل به یک سامانه مجهز به سیستم‌عامل ویندوز در هر سازمانی دست پیدا کنند. این مکانیزم حمله بسیار انعطاف‌پذیر است. به دلیل اینکه الگوی ضبط اطلاعات اعتباری و انتقال پس از آن می‌تواند چندین بار از سوی هکرها به مرحله اجرا درآید. این کار به‌منظور حصول اطمینان از دریافت درست و دقیق اطلاعات انجام می‌شود.»
در این مکانیزم حمله، هکرها می‌توانند به انتظار بنشینند تا قربانی سیستم خود را یک‌بار راه‌اندازی کند یا می‌توانند پیغام هشداری به قربانی نشان دهند و او را متقاعد کنند سیستم خود را مجدداً راه‌اندازی کند. در آزمایش‌هایی که به همین منظور انجام شد، ابزار محبوب پس‌ از بهره‌برداری موسوم به Mimikatz، استفاده شد. این آزمایش نشان داد زمانی‌که سیستمی به حالت بوت ایمن وارد می‌شود، آنتی‌ویروس‌های مایکروسافت، ترندمیکرو، مک‌آفی و آویرا در آن غیرفعال هستند، در نتیجه امکان شناسایی این ابزار وجود ندارد. نعیم به مدیران توصیه کرده است جزئیات مربوط به مجوزهای اعتباری حساب‌ها را برای مختل کردن حملات pass-the-hash به مرحله اجرا بگذارند. همچنین برای مدیران محلی حداقل سطوح اختیارات را تعیین کنند و از ابزارهای امنیتی که در حالت بوت ایمن اجرا می‌شوند، برای پیشگیری از بروز چنین حملاتی استفاده کنند.
منبع:وب سایت 118فایل - وب سایت شبکه