windows遠(yuǎn)程連接失敗,遠(yuǎn)程控制失敗win10

　　微軟試圖竊取憑據(jù)來保護(hù)windows10企業(yè)中的用戶帳戶，安全產(chǎn)品檢測(cè)試圖竊取用戶密碼。但是根據(jù)安全研究人員的說法，所有這些努力都可以以安全的方式進(jìn)行。

　　安全模式是系統(tǒng)的一種診斷操作模式，自Windows 95以來就已存在。它可以激活啟動(dòng)時(shí)只加載最少的服務(wù)和驅(qū)動(dòng)，Windows需要運(yùn)行。

　　這意味著大部分第三方軟件，包括安全產(chǎn)品，在安全模式下啟動(dòng)時(shí)不會(huì)否認(rèn)，否則會(huì)提供保護(hù)。此外，還有不在此模式下運(yùn)行的可選Windows功能，如虛擬安全模塊(VSM)。

　　向量模型是windows10企業(yè)版中虛擬機(jī)的容器，可用于將關(guān)鍵服務(wù)與系統(tǒng)的其余部分隔離，包括本地安全認(rèn)證子系統(tǒng)服務(wù)(LSASS)。LSASS處理用戶驗(yàn)證。如果它處于活動(dòng)狀態(tài)，即使是管理用戶也可以訪問密碼或其他系統(tǒng)用戶密碼的哈希值。

　　在Windows網(wǎng)絡(luò)中，攻擊者不需要明文密碼就可以訪問某些服務(wù)。在許多情況下，身份驗(yàn)證過程依賴于密碼的加密哈希，因此有工具可以從受損的Windows機(jī)器中提取這樣的哈希，并使用它們來訪問其他服務(wù)。

　　這種橫向移動(dòng)技術(shù)是為了防止虛擬安全模塊(VSM)通過哈希攻擊。

　　然而，由于軟件安全研究人員意識(shí)到，賽博方舟VSM和其他安全產(chǎn)品可以阻止密碼提取工具在安全模式下啟動(dòng)，攻擊者可以使用它來繞過防御。

　　同時(shí)還有遠(yuǎn)程部隊(duì)的電腦進(jìn)入安全模式，用戶不需要懷疑飼養(yǎng)方式。CyberArk研究員多倫納伊姆(Doron Naim)在博客中表示，物聯(lián)網(wǎng)行業(yè)的興奮持續(xù)嗡嗡作響(IIoT)，聲音一天比一天清晰。

　　在這樣的攻擊之后，黑客首先需要獲得受害者電腦的管理權(quán)限，這在現(xiàn)實(shí)世界中并不罕見。

　　攻擊者利用各種技術(shù)感染計(jì)算機(jī)惡意軟件，然后利用未打補(bǔ)丁升級(jí)權(quán)限和特權(quán)，升級(jí)缺陷，或者利用社交工程欺騙用戶。

　　一旦攻擊者在他的計(jì)算機(jī)上擁有管理員權(quán)限，他就可以修改操作系統(tǒng)的啟動(dòng)配置，迫使它在下次啟動(dòng)時(shí)自動(dòng)進(jìn)入安全模式。他可以配置流氓服務(wù)或COM對(duì)象以此模式啟動(dòng)，竊取密碼，然后重新啟動(dòng)計(jì)算機(jī)。

　　Windows正常顯示指示燈，操作系統(tǒng)處于安全模式。Naim說，它可以提醒用戶，但也有解決方案。首先是強(qiáng)制重啟，當(dāng)Windows需要重啟，安裝需要更新時(shí)，攻擊者可以顯示如圖所示的提示。研究人員說，當(dāng)處于安全模式時(shí)，惡意COM對(duì)象可以改變桌面背景和其他元素，使其看起來像操作系統(tǒng)仍處于正常模式。

　　Naim說，如果攻擊者想要捕獲用戶的憑據(jù)，他們需要讓用戶登錄，但如果他們的目標(biāo)只是執(zhí)行哈希攻擊，他們可以簡(jiǎn)單地強(qiáng)制進(jìn)行連續(xù)重啟，不會(huì)區(qū)分用戶。

　　CyberArk報(bào)告了這個(gè)問題，但聲稱微軟不認(rèn)為這是一個(gè)安全漏洞，因?yàn)楣粽咝枰讌f(xié)計(jì)算機(jī)，并首先獲得管理權(quán)限。

　　Naim說，雖然補(bǔ)丁可能不會(huì)出現(xiàn)，但企業(yè)可以采取一些緩解措施來保護(hù)自己免受此類攻擊。包括除本地管理員權(quán)限之外的標(biāo)準(zhǔn)用戶、輪換特權(quán)帳戶的無效憑證、頻繁的密碼哈希、使用安全工具，甚至在安全模式下正常添加機(jī)制時(shí)還要注意機(jī)器在安全模式下的引導(dǎo)。