Windows, all’assalto della modalità provvisoria

La modalità provvisoria (Safe Mode) è una particolare tipologia di boot disponibile fin dalle prime versioni di Windows che procedere a caricare solo lo stretto indispensabile (driver e sottosistemi critici) alle funzioni del sistema operativo, in modo da ovviare ad eventuali problemi che sorgono durante le normali operazioni. In questi elementi base non rientrano molti dei controlli di sicurezza e da qui Doron Naim dei laboratori CyberArk ha tratto spunto, studiando come questo ambiente ridotto può essere sfruttato dai malintenzionati.

L’attacco può essere eseguito se l’attaccante ha accesso fisico o logico alla macchina, e può abilitare al furto delle credenziali. Una volta compromessa la prima macchina, l’attaccante imposta l’accesso alla modalità provvisoria al prossimo riavvio. A quel punto ha due opzioni. Nel primo caso inietta una finta schermata di login, potenzialmente del tutto indistinguibile da quella reale, per sottrarre nome utente e password in chiaro. In alternativa può sfruttare il suo iniziale accesso alla macchina per caricare un servizio compatibile con il Safe Mode e pertanto eseguito quando l’utente riavvierà per la prima volta il PC: il servizio può accedere agli hash delle password salvate e sfruttare note debolezze per eseguire attacchi pass the hash a sottosistemi di Windows che consentono l’autenticazione conoscendo anche solo questo dato.
Microsoft ha comunicato a Naim che non prevede di agire per risolvere i problemi evidenziati, sostenendo che l’intera vulnerabilità si basa sull’assunto che l’attaccante abbia già compromesso almeno in parte il sistema. Il ricercatore si dice molto perplesso della scelta, perché “ricerche hanno dimostrato che è estremamente probabile riuscire a compromettere almeno una macchina anche in un ambiente adeguatamente protetto”. Microsoft dovrebbe quindi preoccuparsi dei movimenti laterali consentiti da questo attacco, che a partire da una primo exploit possono essere ripetuti fino a compromettere un intero dominio non direttamente vulnerabile.

I normali software di sicurezza sono spesso scritti senza il supporto alla modalità provvisoria, e pertanto non vengono caricati quando il sistema è in questa modalità. Un attaccante che ha invece programmato un apposito servizio compatibile col Safe Mode può sfruttare la libertà di azione che questo ambiente concede per operare sulle chiavi di registro e disabilitare l’esecuzione di strumenti di sicurezza come antivirus e firewall al successivo riavvio, in modalità normale. Naim è riuscito a disabilitare con successo 3 popolari software antivirus. Tra le sue raccomandazioni c’è appunto la scelta di software per la sicurezza con supporto alla modalità provvisoria, ma soprattutto la variazione ciclica delle credenziali amministrative unita al sempre valido principio del minimo privilegio, riducendo quindi l’insieme di azioni concesse anche agli amministratori a quelle indispensabili.


Questo articolo è stato pubblicato in origine su Punto Informatico, sotto licenza Creative Commons BY-NC-SA 2.5.