windows远程连接失败,远程控制失败win10

  windows远程连接失败,远程控制失败win10

  微软试图窃取凭据来保护windows10企业中的用户帐户,安全产品检测试图窃取用户密码。但是根据安全研究人员的说法,所有这些努力都可以以安全的方式进行。

  安全模式是系统的一种诊断操作模式,自Windows 95以来就已存在。它可以激活启动时只加载最少的服务和驱动,Windows需要运行。

  这意味着大部分第三方软件,包括安全产品,在安全模式下启动时不会否认,否则会提供保护。此外,还有不在此模式下运行的可选Windows功能,如虚拟安全模块(VSM)。

  向量模型是windows10企业版中虚拟机的容器,可用于将关键服务与系统的其余部分隔离,包括本地安全认证子系统服务(LSASS)。LSASS处理用户验证。如果它处于活动状态,即使是管理用户也可以访问密码或其他系统用户密码的哈希值。

  在Windows网络中,攻击者不需要明文密码就可以访问某些服务。在许多情况下,身份验证过程依赖于密码的加密哈希,因此有工具可以从受损的Windows机器中提取这样的哈希,并使用它们来访问其他服务。

  这种横向移动技术是为了防止虚拟安全模块(VSM)通过哈希攻击。

  然而,由于软件安全研究人员意识到,赛博方舟VSM和其他安全产品可以阻止密码提取工具在安全模式下启动,攻击者可以使用它来绕过防御。

  同时还有远程部队的电脑进入安全模式,用户不需要怀疑饲养方式。CyberArk研究员多伦纳伊姆(Doron Naim)在博客中表示,物联网行业的兴奋持续嗡嗡作响(IIoT),声音一天比一天清晰。

  在这样的攻击之后,黑客首先需要获得受害者电脑的管理权限,这在现实世界中并不罕见。

  攻击者利用各种技术感染计算机恶意软件,然后利用未打补丁升级权限和特权,升级缺陷,或者利用社交工程欺骗用户。

  一旦攻击者在他的计算机上拥有管理员权限,他就可以修改操作系统的启动配置,迫使它在下次启动时自动进入安全模式。他可以配置流氓服务或COM对象以此模式启动,窃取密码,然后重新启动计算机。

  Windows正常显示指示灯,操作系统处于安全模式。Naim说,它可以提醒用户,但也有解决方案。首先是强制重启,当Windows需要重启,安装需要更新时,攻击者可以显示如图所示的提示。研究人员说,当处于安全模式时,恶意COM对象可以改变桌面背景和其他元素,使其看起来像操作系统仍处于正常模式。

  Naim说,如果攻击者想要捕获用户的凭据,他们需要让用户登录,但如果他们的目标只是执行哈希攻击,他们可以简单地强制进行连续重启,不会区分用户。

  CyberArk报告了这个问题,但声称微软不认为这是一个安全漏洞,因为攻击者需要妥协计算机,并首先获得管理权限。

  Naim说,虽然补丁可能不会出现,但企业可以采取一些缓解措施来保护自己免受此类攻击。包括除本地管理员权限之外的标准用户、轮换特权帐户的无效凭证、频繁的密码哈希、使用安全工具,甚至在安全模式下正常添加机制时还要注意机器在安全模式下的引导。

郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。

留言与评论(共有 条评论)
   
验证码: