Уязвимость, которую на днях обнаружилась в Windows 10, позволяет злоумышленникам получать доступ к данным, зашифрованным с Битлокер. В популярном блоге Win-Fu на днях появился пост с описанием способа, как они могут это сделать.
Как отмечают авторы Win-Fu:
«В Feature Update имеется один маленький КРЕЙЗИ баг. Установка новой сборки осуществляется путем обновление образа машины, а образ устанавливается уменьшенной версией Windows, которая называется Windows PE (Preinstallation Environment). В ней предусмотрена функция поиска и устранения неисправностей, в которой командную строку запускать можно комбинацией клавиш SHIFT+F10. Так вот, через нее в процессе обновления системы можно получить доступ к данным на жестком диске, поскольку в это время Битлокер (BitLocker) отключается».
Проще говоря, жмем Shift + F10 и посредством стандартного окна с командной строки попадаем в устройство хранения данных операционной системы ПК.
А поскольку Битлокер отключен на период установки обновления, то и доступ к данным, которые в обычное время хранятся зашифрованными, получается тоже свободен.
В настоящее время точно установлено, что данный баг имеет место быть при обновлении оригинальной релизной сборки Windows 10 до свежей ноябрьской версии 1511 или так называемой Юбилейной (Anniversary update) версии 1607.
Более того, баг также обнаружен во всех новых инсайдерских сборках (Insider Build), которые Microsoft выпустила в последнее несколько месяцев.
Как пишет Сами Лайхо (Sami Laiho), специалист по безопасности, который и нашел данную уязвимость, самая главная ее неприятность состоит в том, что воспользоваться ею может фактически любой человек, получивший доступ к локальной машине.
Притом даже без прав Администратора, специального софта, дополнительных настроек или каких-либо устройств.
Что делать?
Как минимум запретить системе принимать инсайдерские сборки, а если машина с Windows 10 офисная, то также запретить переход на инсайдерские сборки.
Делается это следующим образом:
- жмем кнопку Windows, в строке пишем regedit.exe и нажимаем Enter;
- далее в панели слева переходим: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsSelfHost\UI\Visibility;
- жмем правой кнопкой мыши по Visibility и в меню выбираем Создать -> Параметр DWORD (32-bit);
- новый параметр называем HideInsiderPage;
- теперь кликаем по нему дважды, в строке «Значение» указываем 1 и жмем ОК.
Отменить изменение можно в любой момент, просто присвоив этому же параметру значение 0. На офисных машинах также не лишним будет запретить установку обновлений Windows 10 без ведома администратора сети.