I ricercatori di sicurezza hanno annunciato che la modalità provvisoria di Windows non è così sicura come si crede, considerando che la funzionalità presenta un "rischio significativo". Tuttavia, Microsoft è stata informata del problema, ma ancora Microsoft non ha agito in quanto non ritiene che si tratti di una "vulnerabilità valida".
I ricercatori della sicurezza dei CyberArk Labs, una società di sicurezza delle informazioni che offre la sicurezza degli account privilegiati, hanno annunciato, funzionalità diagnostiche di Windows, Modalità provvisoria, può essere utilizzato come vettore di attacco da remoto dagli hacker che hanno accesso a un PC o server obiettivi.
Il metodo di questo attacco è stato valutato dai ricercatori come un metodo non comune e focalizza l'attenzione su uno strumento utilizzato per risolvere i problemi sul PC e rimuovere le minacce alla sicurezza. I ricercatori hanno anche affermato di aver creato una serie di attacchi proof of concept che sfruttano lo strumento Modalità provvisoria di Windows come vettore di attacco.
Secondo i ricercatori di sicurezza, per un attacco di successo, l'attaccante dovrà prima ottenere l'accesso ai privilegi di amministratore locale su un computer o un server che esegue Windows. Quindi un utente malintenzionato potrebbe attivare in remoto la modalità provvisoria per aggirare la protezione.
In modalità provvisoria, l'autore del reato può eseguire una varietà di strumenti per raccogliere credenziali e compromettere altri computer della rete senza essere notato in ogni momento. Come ricercatore sulla sicurezza, Doron Naim ha affermato che questo metodo funziona su tutte le versioni di Windows, incluso Windows 10, nonostante la presenza del Virtual Secure Module (VSM) di Microsoft.
Come tutti sappiamo, la funzione Modalità provvisoria in Windows carica solo i servizi e le funzioni essenziali necessario per eseguire Windows e blocca l'avvio di servizi e programmi di terze parti, inclusa la sicurezza utensili. Di conseguenza, gli aggressori possono eseguire in remoto la modalità provvisoria su un computer compromesso e quindi eseguire l'attacco molto facilmente.
Inoltre, l'attaccante può anche utilizzare le tecniche, come l'oggetto COM che è pericoloso. La tecnica dell'oggetto COM viene utilizzata per eseguire il codice che cambierà lo sfondo, l'aspetto della modalità provvisoria, quindi, facendo apparire la modalità provvisoria di Windows come se l'utente fosse ancora in modalità normale.
Data la capacità di Windows di consentire alle applicazioni di aiutare gli utenti a riavviare i PC, gli hacker possono bloccare questo processo per riavviare segretamente i sistemi in modalità provvisoria. Come dimostra che a causa di queste semplici funzionalità miliardi di computer e server sono minacciati sulla base di questo sistema operativo in tutto il mondo, ha affermato Doron Naim.
Lo sfruttamento di successo del problema prevede tre passaggi: Modificare le impostazioni per attivare la modalità provvisoria per la prossima volta quando si carica il funzionamento sistema, la creazione di strumenti dannosi per il caricamento in modalità provvisoria e l'implementazione del riavvio forzato del computer per sfruttare la vulnerabilità.
Inoltre, i ricercatori della società di sicurezza delle informazioni CyberArk hanno confermato di aver informato Microsoft dei problemi. Tuttavia, il colosso tecnologico Microsoft non ha ancora agito su di esso, in quanto non ritiene che si tratti di una "vulnerabilità valida", che in realtà "richiede che un utente malintenzionato abbia già compromesso la macchina".