Злоумышленники могут использовать контрольные вопросы в Windows 10 для сохранения присутствия на взломанной системе.
Киберпреступники, атакующие компьютеры под управлением Windows, как правило стремятся заполучить на атакуемой системе права администратора. Когда желаемые права получены, сохранить их помогут контрольные вопросы, считают эксперты. В ходе своего выступления на конференции Black Hat Europe исследователи компании Illusive Networks продемонстрировали новый метод сохранения присутствия на взломанной системе с помощью контрольных вопросов в Windows 10. Контрольные вопросы были добавлены в ОС в апреле нынешнего года и предназначены для большего удобства пользователей. Однако, по словам исследователей, новая функция также может использоваться как скрытый бэкдор, предоставляющий постоянный доступ к системе.
При настройке учетной записи Windows 10 администратору предлагается установить контрольные вопросы. Данный шаг был продиктован желанием Microsoft улучшить как безопасность, так и функциональность своей ОС. Однако добавление новых функций чревато угрозой безопасности, считают в Illusive Networks.
По словам исследователя Магала База (Magal Baz), контрольные вопросы облегчают жизнь администратору, но также ставят его под угрозу. Если администратор забыл свой пароль, авторизоваться в учетной записи Windows будет невозможно, и для возобновления доступа потребуется переустановка системы. Контрольные вопросы избавляют от необходимости переустанавливать Windows. Дав правильные ответы, пользователь снова может получить доступ к своей учетной записи.
Тем не менее, с точки зрения безопасности контрольные вопросы еще более ненадежны, чем пароли. У них нет срока давности, к ним не предъявляются требования по сложности и в большинстве случаев они никогда не меняются. Кроме того, зачастую ответы на контрольные вопросы можно легко найти в соцсетях.
Если еще несколько лет назад для сохранения присутствия на взломанной системе злоумышленникам требовались долгие месяцы, то теперь этот срок сократился до нескольких часов.
По словам исследователей, для превращения функции контрольных вопросов в бэкдор, злоумышленник должен найти способ удаленного включения и редактирования вопросов и ответов без необходимости выполнять код на атакуемом компьютере. Атакующий также должен придумать, как использовать предустановленные вопросы и ответы для получения доступа к системе, оставив при этом минимум следов.
