خطرات استفاده از Safe Mode در ویندوز

سیستم عامل ویندوز دارای حالتی است به نام Safe Mode که می تواند اطلاعات لاگین ویندوز را ربوده و حتی آنتی ویروس شما را غیرفعال کند.

 تکنـــــــــــــــاز)به نقل از کلیک ، وضعیت Safe Mode ثابت کرده است که بسیار برای هکرها ایده آل است و شرایط بسیار مناسبی را برای نفوذ آن ها به سیستم فراهم می کند. تحقیقاتی که اخیرا توسط شرکت CyberArk منتشر شد، ( CyberArk شرکتی است که در زمینه امنیت سایبری فعالیت می کند.) فاش کرد که حملات متفاوت از سوی هکرها به سیستم در Safe Mode باعث می شوند که چنین نفوذهایی علاوه بر این که می توانند بسیار خطرناک باشند، به صورت ناشناخته نیز باقی بمانند. علاوه بر این هکرها کلیه اطلاعات کامپیوتر شخص قربانی را می ربایند یا آنتی ویروسی را که بر روی سیستم نصب است، غیرفعال می کنند.

حمله توصیف شده به عنوان یک آسیب پذیری امنیتی محسوب نمی شود، اما سناریویی که قرار است بعد از نفوذ بر روی سیستم کاربر اجرا شود، می تواند به سیستم کاربر صدمه وارد کند و مدیریت سیستم را به طور کلی در دست خود بگیرد.

این سناریو فرضی بیشتر از آن چیزی که فکرش را می کنید به سادگی قابل اجرا است. زیرا کامپیوتری که سیستم عامل ویندوز بر روی آن نصب است و به صورت روزانه توسط انواع مختلف نرم افزارهای مخرب، آلوده شده و هکر مورد نظر بهره برداری های مختلفی از آن کرده است به سادگی می تواند حق دسترسی خود را به هکر بسپارد. در واقع آن شخص ناشناس می تواند دسترسی خود به کامپیوتر قربانی را تا حد یک مدیر (admin) آن سیستم افزایش دهد.

Safe Mode می تواند به هکرها اجازه دهد تا نرم افزارهای امنیتی را فلج کنند

علت این که هکرها به راحتی می تواند به سیستم قربانی نفوذ کنند این است که سیستم عامل ویندوز به نرم افزارهای کاربردی اجازه می دهد تا به کاربر پیغامی مبنی بر ریست کردن سیستم نشان دهند. در واقع آن ها از کاربر می خواهند و او را مجبور می کنند تا سیستم را در حالت Safe Mode ریست کنند.

حالت Safe Mode برای یک هکر بسیار ارزشمند است. زیرا در حالت Safe Mode هیچ یک ازthird-party softwareها اجرا نمی شوند که آنتی ویروس ها نیز شامل این مجموعه از نرم افزارها هستند. (third-party software به نرم افزارهایی گفته می شود که توسط برنامه نویسان و توسعه دهندگان برای سخت افزار سیستم نوشته می شوند. اما این برنامه نویسان به صورت مستقل عمل کرده و نرم افزار و حتی خود آن ها زیر نظر کارخانه سازنده سخت افزار خاصی کار نمی کنند.)

زمانی که ویندوز در حالت Safe Mode اجرا می شود، یک هکر می تواند کلید های رجیستری مربوط به نرم افزارهایی مانند آنتی ویروس ها و Anti-malwareها را تغییر دهد. در حالی که اگر ویندوز در حالت عادی (Normal Mode) باشد چنین عملی به سادگی ممکن نیست و یک پیغام هشدار ظاهر خواهد شد.

زمانی که یک هکر جای پای خود را در سیستم قربانی محکم کرد، پس از آن می تواند با استفاده از نفوذ خود، نرم افزار آنتی ویروس را غیرفعال کند و با این کار تا زمانی که آنتی ویروس غیرفعال است هر کاری مخربی که او بخواد در سیستم کاربر، انجام می دهد و مطمئن خواهد بود که هیچ ردپایی از او در سیستم قربانی باقی نخواهد ماند.

کاربران باید از انتخاب کردن گزینه Safe Mode اجتناب کنند

حمله هکرها هنوز بر اساس حقه زدن کاربران است. به طوری که از آن ها می خواهند تا کامپیوتر را ریست کنند و هیچ پیغامی به آن ها داده نمی شود که در حالت Safe Mode هستند.

زمانی که دستورات مخرب در حال اجرا در حالت Safe Mode هستند این کار معمولا اندکی زمان خواهد برد و کامپیوتر ممکن است که دوباره ریست شده و به Normal Mode باز گردد. این امر، یعنی ریست شدن های پی در پی، ممکن است از نظر کاربر چندان مشکوک به نظر نرسد. زیرا بعضی از نرم افزارها در زمان پروسه نصبشان بر روی کامپیوتر چندین بار کامپیوتر را ریست می کنند.

روش Safe Mode علاوه بر این که نرم افزار امنیتی نصب شده بر روی کامپیوتر را غیرفعال می کند، می تواند تمام اطلاعات مربوط به لاگین کردن کاربران را که شامل نام کاربری و رمزعبور می شود از طریق روش حمله Pass-the-Hash بدست آورد. در واقع با این روش حمله، هکر می تواند اطلاعات لاگین که مربوط به تمام کامپیوترهای یک شبکه است را جمع آوری کند.

استفاده از Safe Mode برای جمع آوری اطلاعات ورود کاربران

برای انجام این کار نیاز به ابزارهای خاصی است. به طور معمول، یک هکر از کلیدهای رجیستری استفاده می کند تا بتواند این ابزارها را در Normal Mode بارگذاری کند. از آن جایی که امکان این کار در Safe Mode وجود ندارد هکرها باید این ابزارها را در سرویس های مخرب یا COM objectها مخفی کنند.

با توجه به تمام ابزارهای موجود و بارگذاری شده در سیستم، هکرها می توانند رمزهای عبور NTLM را که برای کامپیوترها به صورتhash در آمده اند، جمع آوری کنند.

این اطلاعات سپس به دست هکرها می افتند و زمانی که سیستم به Normal Mode برمی گردد هکرها می توانند به منظور دسترسی به سیستم ها از آن ها استفاده کنند.

علاوه بر این، چنین حمله ای می تواند به منظور ربودن اطلاعات لاگین سیستم جاری نیز مورد استفاده قرار گیرد. یک حمله معمولی که به ریست شدن سیستم و قرار گرفتن آن در Safe Mode وابسته است، یک login prompt را نمایش می دهد، اطلاعات ورود کاربران را ثبت می کند و سپس سیستم را در Normal Mode ریست می کند.

از آن جایی که این مسئله یک آسیب پذیری امنیتی محسوب نمی شود و هم چنین نیاز است که هکرها از قبل یک سیستم آلوده به بدافزار خود داشته باشند، شرکت مایکروسافت، شرکتی که تیم امنیتی CyberArk در مورد این نوع حمله آن ها را آگاه ساخت، گفت که هیچ کاری نمی تواند در این مورد انجام دهد!