Нещодавно група дослідників виявила сценарій, у якому питання для відновлення пароля використовувалися для отримання несанкціонованого доступу до комп’ютерів під керуванням Windows 10. Це викликало дискусію щодо доцільності відключення цієї функції. Однак, якщо ви користуєтеся домашнім комп’ютером, така міра, ймовірно, не є необхідною.
Що ж насправді відбувається?
Як повідомлялося на Ars Technica, ще минулого року в Windows 10 було додано можливість встановлювати питання для відновлення пароля для локальних облікових записів. Фахівці з безпеки, дослідивши цю функцію, виявили потенційну вразливість у бізнес-середовищі.
Тут слід звернути увагу на два ключові моменти:
Перш за все, ця проблема виникає лише на комп’ютерах, що є частиною доменної мережі, яка зазвичай використовується в організаціях з централізованим управлінням комп’ютерами. По-друге, вразливість стосується локальних облікових записів користувачів. Це особливо важливо, оскільки в домені ви найімовірніше використовуєте централізований обліковий запис домену, а не локальний. За замовчуванням питання для відновлення пароля неактивні для облікових записів домену.
Існує також третій, ще більш суттєвий фактор. Для реалізації цієї атаки зловмиснику спочатку потрібно отримати права адміністратора в мережі. Лише після цього він зможе ідентифікувати комп’ютери, що мають локальні облікові записи, і додати до них секретні питання.
Навіщо це робити?
Ідея полягає в тому, що після виявлення та блокування доступу зловмисника, навіть зі зміною всіх паролів, він потенційно міг би повторно отримати доступ до цих машин, використовуючи власні питання для скидання паролів і відновлення повного контролю.
Дослідники також припустили, що зловмисник може використовувати інструменти хешування для визначення попереднього пароля, а потім відновити його, щоб приховати свою присутність. Однак, більшість доменних мереж не дозволяють повторне використання паролів за замовчуванням.
Microsoft, у відповідь на запит Ars Technica, зазначила, що:
Описаний метод вимагає попереднього доступу зловмисника на рівні адміністратора.
Хоча це може здатися очевидним, позиція Microsoft є цілком обґрунтованою. Після отримання доступу на рівні адміністратора до мережі, потенційна шкода та способи атаки значно розширюються і виходять далеко за рамки простих маніпуляцій з паролями. Якщо мережа достатньо захищена, щоб не дозволити зловмиснику отримати адміністративний доступ, то вся дискусія стає безпредметною.
Отже, для реалізації цієї атаки зловмиснику потрібно отримати адміністративний доступ до корпоративної мережі Windows, виявити комп’ютери з можливими локальними обліковими записами, а потім створити секретні питання, щоб повернутися до цих комп’ютерів у разі виявлення та блокування. Однак, якщо зловмисник вже має адміністративний доступ, він здатний завдати набагато більшої шкоди.
Чи стосується це мене?
Якщо ви використовуєте Windows 10 на домашньому комп’ютері, то, швидше за все, ні. Причина проста:
- Ваш домашній ПК, ймовірно, не приєднаний до домену.
- Навіть якщо це так, вам потрібно використовувати локальний обліковий запис. Більшість користувачів Windows 10 використовують обліковий запис Microsoft для входу, оскільки це необхідно для коректної роботи багатьох функцій. Хоча ви можете створити локальний обліковий запис, Microsoft не пропонує його як очевидний вибір. Якщо ви використовуєте обліковий запис Microsoft, у вас немає можливості використовувати питання для відновлення пароля.
- Для використання цієї вразливості потрібен віддалений або фізичний доступ до вашого ПК. За наявності такого доступу питання про скидання пароля є найменшою з ваших проблем.
Тож, імовірність того, що результати цього дослідження стосуються вас, дуже мала. Навіть якщо ви використовуєте локальний обліковий запис, приєднаний до домену, питання зводиться до давнього балансу між зручністю та безпекою. Наскільки зручності ви готові пожертвувати заради безпеки, і навпаки?
У цьому конкретному випадку, ймовірність того, що зловмисник отримає доступ до вашого комп’ютера і використає секретні питання для повного контролю, є надзвичайно низькою. Водночас, ймовірність того, що ви забудете пароль і вам знадобляться ці питання, дещо вища. Оцініть свою ситуацію та прийміть зважене рішення.