Hackowanie Windows przy pomocy Cortany wcale nie jest takie groźne

Hackowanie Windows przy pomocy asystenta głosowego dla osób, które zajmują się bezpieczeństwem, nie jest niczym nowym. Perspektywa wykorzystania Cortany do uruchomienia złośliwego kodu, pomimo zablokowanego ekranu utwierdza w przekonaniu, że wbudowane zabezpieczenia systemowe są czasami niewystarczające. Dodatkowo do przeprowadzenia takiego ataku przeważnie należy uzyskać fizyczny dostęp do urządzenia, co wcale nie jest takie proste. W analizowanym poniżej przypadku, nawet jeśli użytkownik po raz pierwszy doświadcza niespotykanego wcześniej wektora ataku, to już dystrybucja szkodliwego oprogramowania odbywa się w sposób przewidywalny i przez wiele systemów analizujących ruch sieciowy pod kątem złośliwej aktywności, zaprezentowany atak będzie wykrywany bez najmniejszego problemu.

Hackowanie Windows komendą głosową

Izraelscy badacze odkryli w systemie Windows 10 możliwość ominięcia wbudowanych zabezpieczeń Windows z wykorzystaniem asystenta głosowego Cortana. W ataku zaprezentowali starą jak świat technikę ARP Poisoning, która pozwala rozsyłać pakiety zawierające fałszywe adresy MAC do innych komputerów w sieci lokalnej. Dzięki temu adapter sieciowy USB, który był podłączony do laptopa z Windowsem 10, mógł przechwycić ruch internetowy z systemu Windows 10 i przekierować wywołany głosowo adres internetowy z domeny „hxxt://cnn.com” na stronę zawierającą złośliwe oprogramowanie — a ta była zahardkodowana w konfiguracji adaptera (np. taki adres internetowy „hxxp://fakemaliciouswebonline.com/hg8nyjiyk” byłoby niekorzystanie dyktować asystentce głosowej). Dzięki dodatkowej karcie sieciowej zatruwanie tablic ARP wszystkich komputerów w sieci LAN nie ogranicza atakującego wyłącznie do jednego urządzenia. W ten sam sposób możliwe jest zainfekowanie pozostałych urządzeń w tej samej sieci, ale pod warunkiem, że będzie na nich zainstalowany Windows 10 z asystentką Cortana.

W ataku zaprezentowano także inną technikę dystrybucji szkodliwego oprogramowania (drive-by download). Strona internetowa infekująca systemu mogła zawierać złośliwy ładunek, który w momencie przesłania na komputer ofiary przez lukę w przeglądarce (w tym kontekście mogła to być przeglądarka lub jedno z zainstalowanych rozszerzeń) zostaje uruchomiony, by w następstwie zainstalować szkodnika lub pozyskać dla atakującego zdalny dostęp do maszyny. Cały atak nie jest trudny do przeprowadzenia, ale…

Ataki ARP Poisoning i drive-by download

To ataki dosyć dobrze wykrywane przez większość renomowanego oprogramowania antywirusowego. Zaprezentowany przez badaczy sposób oszukania zabezpieczeń (o ile był przeprowadzony do końca) musiał być zrealizowany w kontrolowanym środowisku — prawdopodobnie z wyłączoną opcją SmartScreen i z wyłączonym wbudowanym oprogramowaniem Windows Defender. Szczegółów technicznych, wykorzystanych narzędzi, jak i konfiguracji systemu Windows 10 nie znamy (te zostaną zaprezentowane jutro na konferencji Kaspersky Analyst Security Summit), dlatego opieramy swoją analizę o najbardziej prawdopodobną teorię.

Hackowanie Windows

Atak jest możliwy do wykonania, jednak napastnik musi co najmniej uzyskać dostęp do urządzenia lub znajdować się w zasięgu sieci bezprzewodowej (bo tylko wtedy zdoła przechwytywać i przekierowywać ruch internetowy) — a nawet wtedy nie daje mu to pewnego sukcesu na instalację szkodliwego oprogramowania, jeżeli urządzenia końcowe będą odpowiednio zabezpieczone.

Przechwytywanie ruchu i kierowanie systemu do złośliwej strony w celu pobrania niebezpiecznego oprogramowania może być zaniechane przez wbudowane mechanizmy ochronne, albo przez zewnętrzny produkt bezpieczeństwa — koniecznie ze wbudowanym modułem firewall, który potrafi wykrywać ataki ARP Poisoning. Chociażby produkty firmy Comodo, ESET i Quich Heal, które zostały przez nas niedawno zrecenzowane, mogłoby skutecznie zablokować zaprezentowane przez badaczy techniki jeszcze przed wczytaniem złośliwej strony internetowej.

Niedawno zabezpieczenia autoryzacji Windows Hello zostały pokonane za pomocą zwykłej domowej kolorowej drukarki laserowej i zdjęcia o niskiej rozdzielczości 340x340 pikseli, dlatego przypadek wykorzystania Cortany i ataków ARP Poisoning do uruchomienia złośliwego kodu, nie powinien dziwić, a wręcz utwierdzać w przekonaniu, że wszystkich i wszystko da się (prędzej czy później) zhackować, pomimo zapewnień producenta, który wskazywał wielokrotnie, że Windows 10 jest bardziej odporny na ataki niż wersje poprzednie.



Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej