Niedawno grupa badaczy opisała scenariusz, w którym do włamania się na komputery z systemem Windows 10 wykorzystano pytania dotyczące odzyskiwania hasła. Doprowadziło to do niektórych sugestii wyłączenia tej funkcji. Ale nie musisz tego robić, jeśli jesteś użytkownikiem komputera domowego.
Więc co się tutaj dzieje?
Tak jak Ars Technica Po raz pierwszy zgłoszono, system Windows 10 dodał opcję ustawiania pytań dotyczących odzyskiwania hasła na kontach lokalnych w zeszłym roku. Badacze bezpieczeństwa zagłębili się w to i odkryli, że w sieci biznesowej może to prowadzić do potencjalnej luki w zabezpieczeniach.
Od razu widać tam dwa ważne punkty:
- Po pierwsze, cały scenariusz opiera się na komputerach przyłączonych do sieci domeny - takiej, jaką można znaleźć w sieci firmowej z zarządzanymi komputerami.
- Po drugie, luka dotyczy kont lokalnych. Jest to szczególnie interesujące, ponieważ jeśli Twój komputer jest częścią domeny, prawie na pewno używasz scentralizowanego konta użytkownika domeny, a nie konta lokalnego. Pytania zabezpieczające nie są domyślnie dozwolone na kontach domeny.
Jest jeszcze trzecia kwestia, która jest jeszcze ważniejsza. Wszystko to wymaga od złośliwego aktora, aby najpierw uzyskał dostęp do sieci na poziomie administratora. Następnie mogli zidentyfikować komputery podłączone do sieci, które nadal mają konta lokalne, a następnie dodać pytania zabezpieczające do tych kont.
Po co się męczyć?
Chodzi o to, że jeśli administratorzy odkryją i unieważnią dostęp złośliwego aktora, a następnie zmienią wszystkie hasła, aktor mógłby teoretycznie wrócić do sieci na te maszyny i użyć swoich niestandardowych pytań, aby zresetować te hasła i odzyskać pełny dostęp .
Naukowcy zasugerowali, że mogą również użyć narzędzia do haszowania, aby określić poprzednie hasło, a następnie przywrócić stare hasło, aby ukryć dostęp. Problem polega na tym, że większość sieci domen domyślnie nie zezwala na ponowne użycie haseł.
Kiedy Ars Technica poprosiła Microsoft o komentarz, odpowiedź była krótka:
Opisana technika wymaga, aby osoba atakująca już miała dostęp administratora
Chociaż na początku może się to wydawać tępe, to, co sugeruje Microsoft, jest słuszne i prowadzi nas do prawdziwego sedna sprawy. Gdy złośliwy aktor uzyska dostęp do sieci na poziomie administracyjnym, potencjalne szkody i drogi ataku wykraczają daleko poza proste sztuczki resetowania hasła. A jeśli sieć jest wystarczająco solidna, aby uniemożliwić złośliwemu aktorowi uzyskanie poziomu administracyjnego, to wszystko to jest dyskusyjne.
W końcu nasz złośliwy atakujący musiałby uzyskać dostęp na poziomie administratora do sieci firmowej korzystającej z domeny Windows, znaleźć komputery, które mogą mieć na nich konta lokalne, a następnie utworzyć pytania zabezpieczające, aby móc wrócić do nich komputery, jeśli zostaną wykryte i zablokowane. Powinniśmy się tym martwić, gdy dostęp na poziomie administratora daje im możliwość wyrządzenia o wiele więcej szkód.
Rozumiem. Czy to dotyczy mnie?
Jeśli używasz komputera z systemem Windows 10 w domu, krótka odpowiedź prawie na pewno brzmi nie. A oto dlaczego:
- Twój domowy komputer najprawdopodobniej nie jest przyłączony do domeny.
- Nawet gdyby tak było, musiałbyś używać konta lokalnego, a większość użytkowników systemu Windows 10 prawdopodobnie używa konta Microsoft do logowania. Dzieje się tak, ponieważ system Windows 10 wymaga użycia konta Microsoft działają poprawnie . I chociaż możesz wykonać kilka dodatkowych kroków, aby utworzyć plik konto lokalne zamiast tego Microsoft nie czyni tego najbardziej oczywistym wyborem. Jeśli korzystasz z konta Microsoft, nie możesz używać pytań dotyczących resetowania hasła.
- Aby to wykorzystać, ktoś musiałby mieć zdalny lub fizyczny dostęp do twojego komputera. A przy takim poziomie dostępu pytania dotyczące resetowania hasła są najmniejszym z Twoich zmartwień.
Zatem szanse są bardzo duże, że żadne z tych badań Cię nie dotyczy. Ale nawet jeśli używasz konta lokalnego przyłączonego do domeny, wszystko to sprowadza się do odwiecznego zestawu pytań. Z jakiej wygody zrezygnować w imię bezpieczeństwa? I odwrotnie, ile bezpieczeństwa należy zrezygnować w imię wygody?
W takim przypadku szanse, że zły aktor uzyska dostęp do twojego komputera i użyje pytań zabezpieczających, aby uzyskać pełną kontrolę, są niewiarygodnie małe. Szanse na zapomnienie hasła i konieczność zadawania pytań są nieco większe. Oceń swoją sytuację i dokonaj najlepszego wyboru.
