El “modo seguro” de Windows podría ser una puerta para los ataques

Actualidad

Una serie de investigadores de un proveedor de seguridad de Estados Unidos ha descubierto recientemente que los ciberdelincuentes podrían utilizar el “modo seguro” de Windows, herramienta de diagnóstico de estos sistemas y que viene integrado en PCs y servidores, como puerta de entrada para realizar ataques remotos.

De este modo los hackers podrían desde aquí acceder a todo tipo de credenciales y tener un acceso casi total a cualquier PC o servidor basado en el sistema operativo de los de Redmond. Para ello el atacante necesita obtener los derechos administrativos locales del equipo en cuestión y, una vez que obtienen el acceso, modificar el registro del sistema para forzar un reinicio en “modo seguro”.

De hecho se ha afirmado que una vez que los atacantes obtienen los privilegios de administrador local del equipo infectado, pueden activar remotamente el modo seguro con el fin de evitar y modificar las medidas de seguridad de todo el sistema. De esta manera el “modo seguro” se convertiría en una puerta de acceso perfecta para que los ciberdelincuentes puedan «correr a sus anchas» libremente por las herramientas instaladas y robar todo tipo de credenciales, todo ello sin ser detectados. Además, mencionan que a pesar de la presencia del VSM (Microsoft’s Virtual Secure Module), esto también puede funcionar en Windows 10.

Ataques a través de la Red

Hay que tener en cuenta que en el “modo seguro” no inicia ningún software o controlador que sea crítico para el funcionamiento del sistema, por lo que al forzar un reinicio así de forma remota, los atacantes pueden acceder a este sistema y operar libremente, ya que la mayoría de las medidas de seguridad no están habilitadas. Los investigadores han desarrollado varios ataques de prueba usando este tipo de arranque seguro, utilizado una pantalla de inicio de sesión falsa que imita el arranque normal, se disfraza el modo seguro y así los usuarios introducen sus credenciales confiados.

Los atacantes pueden utilizar un objeto malicioso que se carga en el “explorer.exe”, lo que permite que dicho código se ejecute al tiempo que dicho el comando. Con esto se logra que el ataque se produzca automáticamente cada vez que la víctima reinicia el PC o el servidor. Una vez se ha iniciado una máquina en modo seguro, se puede acceder a las claves del registro y cambiar las configuraciones para desactivar el funcionamiento de las soluciones de seguridad instaladas. Así más adelante se ejecutarían las herramientas maliciosas en el modo de arranque normal sin que se active alarma alguna al no violar las normas de seguridad previamente definidas.

Quizá también te interese:

OVH confirma un ataque de más 150 Gbps procedente de Telefónica que afecta a sus servicios

Los ataques DDoS, cada vez más peligrosos combinando tres botnets

Los ataques a nuestros móviles aumentan: Conoce las amenazas más activas en la actualidad

Escrito por David Onieva

Fuente > TechWorm

Continúa leyendo
Comentarios
1 comentario
  1. Anónimo
    Usuario no registrado
    18 Sep, 16 5:02 pm

    Vaya chorrada.

    “una vez que los atacantes obtienen los privilegios de administrador local del equipo infectado”

    Si te hacen eso ya estás comprometido, con privilegios de administrador el “modo seguro” es un poco irrelevante.