Una serie de investigadores de un proveedor de seguridad de Estados Unidos ha descubierto recientemente que los ciberdelincuentes podrían utilizar el “modo seguro” de Windows, herramienta de diagnóstico de estos sistemas y que viene integrado en PCs y servidores, como puerta de entrada para realizar ataques remotos.
De este modo los hackers podrían desde aquí acceder a todo tipo de credenciales y tener un acceso casi total a cualquier PC o servidor basado en el sistema operativo de los de Redmond. Para ello el atacante necesita obtener los derechos administrativos locales del equipo en cuestión y, una vez que obtienen el acceso, modificar el registro del sistema para forzar un reinicio en “modo seguro”.
De hecho, se ha afirmado que una vez que los atacantes obtienen los privilegios de administrador local del equipo infectado, pueden activar remotamente el modo seguro con el fin de evitar y modificar las medidas de seguridad de todo el sistema. De esta manera el “modo seguro” se convertiría en una puerta de acceso perfecta para que los ciberdelincuentes puedan «correr a sus anchas» libremente por las herramientas instaladas y robar todo tipo de credenciales, todo ello sin ser detectados. Además, mencionan que a pesar de la presencia del VSM (Microsoft’s Virtual Secure Module), esto también puede funcionar en Windows 10.
Hay que tener en cuenta que en el “modo seguro” no inicia ningún software o controlador que sea crítico para el funcionamiento del sistema, por lo que al forzar un reinicio así de forma remota, los atacantes pueden acceder a este sistema y operar libremente, ya que la mayoría de las medidas de seguridad no están habilitadas. Los investigadores han desarrollado varios ataques de prueba usando este tipo de arranque seguro, utilizado una pantalla de inicio de sesión falsa que imita el arranque normal, se disfraza el modo seguro y así los usuarios introducen sus credenciales confiados.
Los atacantes pueden utilizar un objeto malicioso que se carga en el “explorer.exe”, lo que permite que dicho código se ejecute al tiempo que dicho el comando. Con esto se logra que el ataque se produzca automáticamente cada vez que la víctima reinicia el PC o el servidor. Una vez se ha iniciado una máquina en modo seguro, se puede acceder a las claves del registro y cambiar las configuraciones para desactivar el funcionamiento de las soluciones de seguridad instaladas. Así más adelante se ejecutarían las herramientas maliciosas en el modo de arranque normal sin que se active alarma alguna al no violar las normas de seguridad previamente definidas.