Нещодавно група дослідників описала:сценарій, коли питання відновлення пароля використовувались для прориву на ПК Windows 10. Це призвело до того, що деякі підказки вимикають функцію. Але цього не потрібно робити, якщо ви користувач домашнього комп’ютера.
Отже, що тут відбувається?
Як вперше повідомив Ars Technica, Windows 10 маєдодано можливість задавати питання відновлення пароля на локальних акаунтах за минулий рік. Дослідники з питань безпеки поглибилися в цьому і виявили, що в бізнес-мережі це може призвести до потенційної вразливості.
Одразу біля кажана ви можете помітити два важливі моменти там:
- По-перше, весь сценарій покладається на комп'ютери, приєднані до доменної мережі - такий, який ви знайдете в бізнес-мережі з керованими комп'ютерами.
- По-друге, вразливість стосується локальнихрахунки. Це особливо цікаво, оскільки якщо ваш ПК є частиною домену, ви майже напевно використовуєте централізований обліковий запис користувача, а не локальний. І питання безпеки не дозволяються в облікових записах домену за замовчуванням.
Є ще третя точка, яка ще більшеважливий. Все це вимагає, щоб зловмисний актор спочатку отримав доступ на рівні адміністратора в мережі. Звідти вони могли б ідентифікувати машини, підключені до мережі, які все ще мають локальні облікові записи, а потім до них додавати питання безпеки.
Навіщо турбуватися?
Ідея полягає в тому, що якщо адміністратори виявлять і скасуютьзавдяки доступу зловмисного актора, згодом змінивши всі паролі, актор, теоретично, міг повернутися в мережу до цих машин і використовувати власні запитання, щоб скинути ці паролі та відновити повний доступ.
Дослідники припустили, що вони також можуть використовувати aінструмент хешування, щоб визначити попередній пароль, а потім відновити старий пароль, щоб приховати їх доступ. Проблема тут полягає в тому, що більшість мереж доменів не дозволяють повторно використовувати паролі за замовчуванням.
Коли Ars Technica попросила Microsoft прокоментувати коментар, відповідь була короткою:
Описана методика вимагає, щоб зловмисник вже мав доступ адміністратора
Хоча це може здатися тупим спочатку, щоMicrosoft натякає, що це правильно, і це приводить нас до справжньої суті справи. Після того, як зловмисний актор має доступ до адміністративного рівня в мережі, потенційний збиток і шляхи нападу виходять далеко за рамки простих хитрощів щодо скидання пароля. І якщо мережа є достатньо надійною, щоб не допустити, щоб злісний актор коли-небудь здобув адміністративний рівень, то все це суперечить.
Отже, врешті-решт, знадобиться наш зловмисний нападникщоб отримати доступ на рівні адміністратора до бізнес-мережі, яка використовує домен Windows, знайдіть комп’ютери, на яких можуть бути локальні облікові записи, а потім створіть питання безпеки, щоб вони могли повернутися на ці комп’ютери, якщо їх виявлять і заблокують. І ми повинні турбуватися з цього приводу, коли доступ на рівні адміністратора дає їм можливість зробити ще більше шкоди.
Зрозумів. Отже, чи стосується це мене?
Якщо ви вдома використовуєте комп'ютер Windows 10, короткої відповіді майже точно немає. І ось чому:
- Ваш домашній ПК, швидше за все, не приєднався до домену.
- Навіть якби це було, вам доведеться використовувати локальнийакаунт, і більшість людей у Windows 10, ймовірно, використовують обліковий запис Microsoft для входу. Це тому, що для роботи системи Windows 10 потрібно використовувати обліковий запис Microsoft для багатьох функцій. І хоча ви можете зробити кілька додаткових кроків, щоб створити локальний обліковий запис натомість, Microsoft не зробить це найбільш очевидним вибором. Якщо ви використовуєте обліковий запис Microsoft, у вас немає можливості використовувати питання про скидання пароля.
- Щоб скористатися цим, комусь потрібно мати віддалений або фізичний доступ до вашого ПК. І з таким рівнем доступу питання щодо скидання пароля є найменшими турботами.
Отже, великі шанси, що нічого з цьогодослідження стосується вас. Але навіть якщо ви використовуєте локальний обліковий запис, приєднаний до домену, все це зводиться до вікового набору питань. Скільки зручності слід відмовитись від імені безпеки? І навпаки, на скільки безпеки слід відмовитися від імені зручності?
У цьому випадку шанси поганого акторадоступ до машини та використання питань безпеки для повного контролю надзвичайно віддалені. А шанси забути свій пароль і потрібні запитання трохи вище. Підведіть підсумки своєї ситуації та зробіть найкращий вибір для вас.
