Oare Ai Fost Deja Compromis?
Oare Ai Fost Compromis?
Cursuri
Articole educative Module video Cyber Security Tips Quiz
Noutăți Despre noi Devino membru

Amenințare Ascunsă: Vulnerabilitate critică Windows permite furtul silențios de credențiale.

Amenințare Ascunsă: Vulnerabilitate critică Windows permite furtul silențios de credențiale.

-

Rating: 0.0 (0 voturi)
Noutăți 28.08.2025

Atacatorii cibernetici au descoperit o nouă tehnică de a sustrage, în mod silențios, parole și date sensibile de pe sistemele Windows, ocolind majoritatea soluțiilor de detectare și răspuns la amenințări (EDR). Această metodă se bazează pe exploatarea unor funcționalități mai puțin cunoscute ale sistemului de operare. Atacatorii, după ce obțin acces inițial la o mașină Windows, pot fura credențialele de autentificare necesare pentru a se deplasa lateral în cadrul unei rețele, fără a declanșa alerte de securitate

Această tehnică ingenioasă evită crearea de fișiere temporare pe disc și nu necesită privilegii de sistem complete, operând doar în contextul unui cont de administrator local. Atacul se desfășoară în două etape. În primul rând, folosește o funcție nativă mai puțin documentată, NtOpenKeyEx, pentru a ocoli controalele de acces la bazele de date critice ale registrului Windows (SAM și SECURITY). Apoi, citește datele criptate folosind o altă funcție evitată de sistemele EDR, RegQueryMultipleValuesW, deoarece majoritatea producătorilor nu o monitorizează.

Rezultatul? O metodă foarte eficientă de extragere a credențialelor, care se desfășoară integral în memorie și nu lasă urme pe disc. Descoperirea acestei tehnici demonstrează că, chiar și cele mai avansate sisteme de apărare cibernetică pot fi ocolite prin exploatarea unor funcții legitime ale sistemului de operare. Aceasta subliniază necesitatea ca specialiștii în securitate să se adapteze constant și să monitorizeze inclusiv comportamente care, la prima vedere, par inofensive.


Sfaturi de Protectie


1. Limitează privilegiile de administrator

Acest atac se bazează pe exploatarea unui cont de administrator local. Folosește un cont standard pentru activitățile de zi cu zi și utilizează contul de administrator doar atunci când este absolut necesar.

  • Pasul 1: Mergi la Start > Settings (Setări) > Accounts (Conturi) > Family & other users (Familie și alți utilizatori).
  • Pasul 2: Selectează contul de utilizator pe care vrei să-l modifici.
  • Pasul 3: Apasă pe Change account type (Schimbă tipul contului).
  • Pasul 4: În meniul derulant, selectează Standard User (Utilizator standard) și apasă OK.



2. Implementează LAPS (Local Administrator Password Solution)

LAPS este o soluție Microsoft care gestionează parolele conturilor de administrator local pentru calculatoarele dintr-o rețea. Fiecare computer va avea o parolă unică și aleatorie, ceea ce previne mișcarea laterală a unui atacator.

  • Pasul 1 (Pentru administratori de rețea): Descarcă și instalează pachetul de management LAPS pe un server cu Active Directory.
  • Pasul 2: Extinde schema Active Directory cu atributele LAPS folosind comanda PowerShell Update-AdmPwdADSchema.
  • Pasul 3: Configurează permisiunile pe obiectele din Active Directory și implementează o politică de grup (Group Policy) care să impună LAPS pe toate stațiile de lucru.



3. Activează Credential Guard

Credential Guard izolează Autoritatea de Securitate Locală (LSA) într-o zonă separată de memorie, protejând credențialele de atacuri chiar dacă sistemul a fost compromis.

  • Pasul 1: Asigură-te că sistemul de operare este compatibil (Windows 10/11 Enterprise sau Education).
  • Pasul 2: Activează funcțiile Hyper-V și Device Guard.
  • Pasul 3: Configurează Credential Guard folosind un obiect Group Policy sau o cheie de registru.



4. Monitorizează accesul la registru (Registry)

Deoarece atacul vizează cheile de registru SAM și SECURITY, monitorizează orice încercare de a accesa sau a citi din acestea.

  • Pasul 1: Descarcă și instalează Sysmon de la Microsoft (este necesară o configurație inițială).
  • Pasul 2: Configurează Sysmon pentru a monitoriza accesul la aceste chei. Poți folosi o regulă în fișierul de configurare XML, de tipul:

XML

<RuleGroup name="monitor_registry" groupRelation="or">

 <RegistryEvent onmatch="include">

   <TargetObject name="HKLM\SAM" />

   <TargetObject name="HKLM\SECURITY" />

 </RegistryEvent>

</RuleGroup>

  • Pasul 3: Rulează Sysmon cu fișierul de configurare folosind comanda sysmon.exe -i config.xml.



5. Restricționează accesul la PowerShell

Multe atacuri moderne folosesc PowerShell. Limitează utilizarea sa și asigură-te că înregistrarea evenimentelor este activată.

  • Pasul 1: Pentru a limita ce scripturi pot fi rulate, deschide PowerShell ca administrator și folosește comanda Set-ExecutionPolicy -ExecutionPolicy RemoteSigned.
  • Pasul 2: Pentru a activa înregistrarea detaliată a evenimentelor, apasă Windows + R, scrie gpedit.msc și apasă Enter.
  • Pasul 3: Mergi la Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell. Aici, activează opțiunile pentru înregistrarea evenimentelor.



6. Segmentează rețeaua

Separă rețeaua în segmente mai mici pentru a limita mișcarea laterală a atacatorilor, chiar dacă reușesc să compromită un sistem.

  • Pasul 1 (Planificare): Identifică sistemele critice și sensibile din rețeaua ta.
  • Pasul 2 (Design): Creează o schemă logică de segmentare. Asta implică folosirea rețelelor virtuale (VLAN-uri) sau a rețelelor fizice separate pentru a izola zonele critice de restul rețelei.
  • Pasul 3 (Implementare): Configurează routerele, switch-urile și firewall-urile pentru a bloca tot traficul între segmente, permițând doar comunicațiile esențiale.
  • Pasul 4 (Testare): Verifică regulile de firewall pentru a te asigura că nicio comunicare neautorizată nu poate trece de la un segment la altul.



7. Folosește un manager de parole

Un manager de parole stochează credențialele într-un seif criptat, reducând riscul ca acestea să fie furate în cazul unui atac.

  • Pasul 1: Alege un manager de parole de încredere (de exemplu, 1Password, Bitwarden sau LastPass).
  • Pasul 2: Descarcă și instalează aplicația pe computerul tău și creează un cont. Vei crea o "parolă principală" pe care va trebui să o ții minte.
  • Pasul 3: Instalează extensia managerului de parole în browserul tău web (Chrome, Firefox etc.).
  • Pasul 4: Intră pe un site, iar managerul de parole îți va sugera să generezi o parolă puternică și unică. Acceptă, iar managerul o va stoca automat în seiful tău.



8. Implementează principii de acces minim (Least Privilege)

Asigură-te că fiecare utilizator și proces are doar privilegiile necesare pentru a-și îndeplini sarcinile, nimic mai mult.

  • Pasul 1: Revizuiește periodic conturile de utilizator și dezactivează-le pe cele care nu mai sunt necesare.
  • Pasul 2: Folosește un cont standard în loc de un cont de administrator.
  • Pasul 3: Pentru a rula o aplicație cu un alt cont, ține apăsată tasta Shift, dă clic dreapta pe program și selectează "Run as different user" (Execută ca alt utilizator).
  • Pasul 4: Introdu numele și parola contului de administrator doar pentru acea acțiune.



9. Activează autentificarea cu doi factori (2FA)

2FA adaugă un strat suplimentar de securitate, solicitând un cod de verificare pe lângă parolă.

  • Pasul 1: Intră în contul tău online (de exemplu, Google, Facebook sau un cont de email) și mergi la Settings (Setări) sau Profile (Profil).
  • Pasul 2: Caută secțiunea de Security (Securitate).
  • Pasul 3: Găsește opțiunea "2-Step Verification" (Verificare în 2 pași) sau "Two-Factor Authentication (Autentificare cu doi factori) și dă clic pe "Activate" (Activează).
  • Pasul 4: Alege o metodă de verificare. Se recomandă folosirea unei aplicații de autentificare (precum Google Authenticator) în locul SMS-ului, deoarece mesajele text pot fi interceptate.


10. Actualizează Windows și software-ul

Actualizările de securitate repară vulnerabilitățile cunoscute, prevenind atacatorii să obțină acel "punct de acces inițial" de care au nevoie pentru a lansa atacuri complexe.

  • Pasul 1: Mergi la Start > Settings (Setări) > Update & Security (Actualizare și securitate).
  • Pasul 2: Apasă pe Check for updates (Verifică dacă există actualizări) și instalează toate patch-urile disponibile.

Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro

Sursa