Niedawno grupa badaczy opisała scenariusz, w którym do włamania się do komputerów z systemem Windows 10 użyto pytań dotyczących odzyskiwania hasła. Doprowadziło to do sugestii wyłączenia tej funkcji, ale nie musisz tego robić, jeśli jesteś użytkownikiem komputera domowego.
Więc co się tutaj dzieje?
Jak po raz pierwszy zgłoszono w Ars Technica, system Windows 10 dodał opcję ustawiania pytań dotyczących odzyskiwania hasła na kontach lokalnych. Badacze bezpieczeństwa zagłębili się w ten temat i odkryli, że w sieci biznesowej może to prowadzić do potencjalnej luki w zabezpieczeniach.
Widać tu dwa ważne punkty:
- Po pierwsze, cały scenariusz opiera się na komputerach przyłączonych do sieci domeny, takiej, jaką można znaleźć w sieci firmowej z zarządzanymi komputerami.
- Po drugie, luka dotyczy kont lokalnych. To szczególnie interesujące, ponieważ jeśli Twój komputer jest częścią domeny, prawie na pewno używasz scentralizowanego konta użytkownika domeny, a nie konta lokalnego. Pytania zabezpieczające nie są domyślnie dozwolone na kontach domeny.
Jest jeszcze trzecia kwestia, która jest jeszcze ważniejsza. Wszystko to wymaga, aby złośliwy aktor najpierw uzyskał dostęp do sieci na poziomie administratora. Następnie mógłby zidentyfikować komputery podłączone do sieci, które nadal mają konta lokalne, a następnie dodać pytania zabezpieczające do tych kont.
Po co się męczyć?
Badacze zasugerowali, że mogą również użyć narzędzia haszującego do określenia poprzedniego hasła, a następnie przywrócić stare hasło, aby ukryć dostęp. Problem polega na tym, że większość sieci domen domyślnie nie zezwala na ponowne użycie haseł.
Kiedy Ars Technica poprosiła Microsoft o komentarz, odpowiedź była krótka:
Opisana technika wymaga, aby osoba atakująca już miała dostęp administratora.
Chociaż na początku może się to wydawać tępe, to, co sugeruje Microsoft, jest słuszne i prowadzi nas do prawdziwego sedna sprawy. Gdy złośliwy aktor uzyska dostęp do sieci na poziomie administracyjnym, potencjalne szkody i drogi ataku wykraczają daleko poza proste sztuczki resetowania hasła. A jeśli sieć jest wystarczająco solidna, aby uniemożliwić złośliwemu aktorowi uzyskanie poziomu administracyjnego, to wszystko to jest dyskusyjne.
Ostatecznie nasz złośliwy atakujący musiałby uzyskać dostęp na poziomie administratora do sieci firmowej korzystającej z domeny Windows, znaleźć komputery, na których mogą znajdować się konta lokalne, a następnie utworzyć pytania zabezpieczające, aby móc wrócić do tych komputerów, jeśli zostaną wykryte i zablokowane. Powinniśmy się tym martwić, ponieważ ich dostęp na poziomie administratora daje im możliwość wyrządzenia o wiele więcej szkód.
Rozumiem. Czy to dotyczy mnie?
Jeśli używasz komputera z systemem Windows 10 w domu, krótka odpowiedź prawie na pewno brzmi nie. A oto dlaczego:
- Twój domowy komputer najprawdopodobniej nie jest przyłączony do domeny.
- Nawet gdyby tak było, musiałbyś używać konta lokalnego, a większość użytkowników systemu Windows 10 prawdopodobnie korzysta z konta Microsoft do logowania. System Windows 10 wymaga korzystania z konta Microsoft, aby wiele funkcji działało poprawnie. Chociaż możesz wykonać kilka dodatkowych kroków, aby utworzyć konto lokalne, Microsoft nie czyni tego najbardziej oczywistym wyborem. Jeśli korzystasz z konta Microsoft, nie możesz używać pytań dotyczących resetowania hasła.
- Aby to wykorzystać, ktoś musiałby mieć zdalny lub fizyczny dostęp do komputera. Przy takim poziomie dostępu pytania dotyczące resetowania hasła są najmniejszym z Twoich zmartwień.
Szanse są więc bardzo duże, że żadne z tych badań nie dotyczy ciebie. Ale nawet jeśli używasz konta lokalnego przyłączonego do domeny, wszystko to sprowadza się do odwiecznego zestawu pytań: z jakiej wygody zrezygnować w imię bezpieczeństwa? I odwrotnie, ile bezpieczeństwa należy zrezygnować w imię wygody?
W takim przypadku szanse, że zły aktor uzyska dostęp do twojego komputera i użyje pytań zabezpieczających, aby uzyskać pełną kontrolę, są niewiarygodnie małe. Szanse na zapomnienie hasła i konieczność zadawania pytań są nieco większe. Oceń swoją sytuację i dokonaj najlepszego wyboru.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.