Hackowanie Windows przy pomocy Cortany wcale nie jest takie groźne

8 marca, 2018

Hackowanie Windows przy pomocy asystenta głosowego dla osób, które zajmują się bezpieczeństwem, nie jest niczym nowym. Perspektywa wykorzystania Cortany do uruchomienia złośliwego kodu, pomimo zablokowanego ekranu utwierdza w przekonaniu, że wbudowane zabezpieczenia systemowe są czasami niewystarczające. Dodatkowo do przeprowadzenia takiego ataku przeważnie należy uzyskać fizyczny dostęp do urządzenia, co wcale nie jest takie proste. W analizowanym poniżej przypadku, nawet jeśli użytkownik po raz pierwszy doświadcza niespotykanego wcześniej wektora ataku, to już dystrybucja szkodliwego oprogramowania odbywa się w sposób przewidywalny i przez wiele systemów analizujących ruch sieciowy pod kątem złośliwej aktywności, zaprezentowany atak będzie wykrywany bez najmniejszego problemu.

Hackowanie Windows komendą głosową

Izraelscy badacze odkryli w systemie Windows 10 możliwość ominięcia wbudowanych zabezpieczeń Windows z wykorzystaniem asystenta głosowego Cortana. W ataku zaprezentowali starą jak świat technikę ARP Poisoning, która pozwala rozsyłać pakiety zawierające fałszywe adresy MAC do innych komputerów w sieci lokalnej. Dzięki temu adapter sieciowy USB, który był podłączony do laptopa z Windowsem 10, mógł przechwycić ruch internetowy z systemu Windows 10 i przekierować wywołany głosowo adres internetowy z domeny „hxxt://cnn.com” na stronę zawierającą złośliwe oprogramowanie — a ta była zahardkodowana w konfiguracji adaptera (np. taki adres internetowy „hxxp://fakemaliciouswebonline.com/hg8nyjiyk” byłoby niekorzystanie dyktować asystentce głosowej). Dzięki dodatkowej karcie sieciowej zatruwanie tablic ARP wszystkich komputerów w sieci LAN nie ogranicza atakującego wyłącznie do jednego urządzenia. W ten sam sposób możliwe jest zainfekowanie pozostałych urządzeń w tej samej sieci, ale pod warunkiem, że będzie na nich zainstalowany Windows 10 z asystentką Cortana.

W ataku zaprezentowano także inną technikę dystrybucji szkodliwego oprogramowania (drive-by download). Strona internetowa infekująca systemu mogła zawierać złośliwy ładunek, który w momencie przesłania na komputer ofiary przez lukę w przeglądarce (w tym kontekście mogła to być przeglądarka lub jedno z zainstalowanych rozszerzeń) zostaje uruchomiony, by w następstwie zainstalować szkodnika lub pozyskać dla atakującego zdalny dostęp do maszyny. Cały atak nie jest trudny do przeprowadzenia, ale…

Ataki ARP Poisoning i drive-by download

To ataki dosyć dobrze wykrywane przez większość renomowanego oprogramowania antywirusowego. Zaprezentowany przez badaczy sposób oszukania zabezpieczeń (o ile był przeprowadzony do końca) musiał być zrealizowany w kontrolowanym środowisku — prawdopodobnie z wyłączoną opcją SmartScreen i z wyłączonym wbudowanym oprogramowaniem Windows Defender. Szczegółów technicznych, wykorzystanych narzędzi, jak i konfiguracji systemu Windows 10 nie znamy (te zostaną zaprezentowane jutro na konferencji Kaspersky Analyst Security Summit), dlatego opieramy swoją analizę o najbardziej prawdopodobną teorię.

Hackowanie Windows

Atak jest możliwy do wykonania, jednak napastnik musi co najmniej uzyskać dostęp do urządzenia lub znajdować się w zasięgu sieci bezprzewodowej (bo tylko wtedy zdoła przechwytywać i przekierowywać ruch internetowy) — a nawet wtedy nie daje mu to pewnego sukcesu na instalację szkodliwego oprogramowania, jeżeli urządzenia końcowe będą odpowiednio zabezpieczone.

Przechwytywanie ruchu i kierowanie systemu do złośliwej strony w celu pobrania niebezpiecznego oprogramowania może być zaniechane przez wbudowane mechanizmy ochronne, albo przez zewnętrzny produkt bezpieczeństwa — koniecznie ze wbudowanym modułem firewall, który potrafi wykrywać ataki ARP Poisoning. Chociażby produkty firmy Comodo, ESETQuich Heal, które zostały przez nas niedawno zrecenzowane, mogłoby skutecznie zablokować zaprezentowane przez badaczy techniki jeszcze przed wczytaniem złośliwej strony internetowej.

Niedawno zabezpieczenia autoryzacji Windows Hello zostały pokonane za pomocą zwykłej domowej kolorowej drukarki laserowej i zdjęcia o niskiej rozdzielczości 340×340 pikseli, dlatego przypadek wykorzystania Cortany i ataków ARP Poisoning do uruchomienia złośliwego kodu, nie powinien dziwić, a wręcz utwierdzać w przekonaniu, że wszystkich i wszystko da się (prędzej czy później) zhackować, pomimo zapewnień producenta, który wskazywał wielokrotnie, że Windows 10 jest bardziej odporny na ataki niż wersje poprzednie.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]