Hello, we are fossBytes.

fossBytesに9月19日(米国時間)に掲載された記事「How Windows Safe Mode Can Be Exploited To Steal Your PC's Password」が、Windowsのセーフモードがサイバー攻撃に悪用可能であることを伝えた。これはCyberArk Labsの研究者らが発表したもので、詳細は「CyberArk Labs: From Safe Mode to Domain Compromise」に掲載されている。CyberArk Labsの研究者らはセーフモードの利用をモニタリングしたり、セーフモードでもセキュリティツールを利用したりするようなどの対策を推奨している。

Windowsでは何らかの問題が発生した場合にシステムをセーフモードで起動して対処することがある。セーフモードでは限定された機能しかロードされないため、この最小限の状態でシステムを復旧させるといった作業を行う。しかしこれは同時に、サードパーティ製のセキュリティソフトウェアやいくつかのWindowsのセキュリティ機能も機能していないことを意味しており、攻撃が可能な状態にあると指摘されている。

攻撃の方法としては、まず次の起動でシステムが自動的にセーフモードで起動するように変更。セーフモードで起動したら、レジストリの書き換えなど攻撃のための準備を行いシステムを再起動。さらに、ユーザーからの疑いを避けるために偽のWindows Updateの画面を表示するなどして、さらに一旦再起動を促すといった操作を行うとしている。

この攻撃は最初の段階で脆弱性を悪用する必要があることから、Microsoftはこの方法自体を脆弱性とは認めていないという説明が掲載されている。