Onlangs beschreef een groep onderzoekers een scenario waarin wachtwoordherstelvragen werden gebruikt om in te breken op Windows 10-pc’s. Dit heeft ertoe geleid dat sommigen suggereren om de functie uit te schakelen. Maar u hoeft dit niet te doen als u een thuiscomputergebruiker bent.
Dus, wat is hier aan de hand?
Zoals Ars Technica voor het eerst meldde, heeft Windows 10 het afgelopen jaar de optie toegevoegd om wachtwoordherstelvragen in te stellen op lokale accounts. Beveiligingsonderzoekers verdiepten zich hierin en ontdekten dat dit op een zakelijk netwerk kan leiden tot mogelijke kwetsbaarheid.
Je kunt daar meteen twee belangrijke punten zien:
- Ten eerste is het hele scenario afhankelijk van computers die zijn aangesloten op een domeinnetwerk – het soort dat u zou aantreffen op een bedrijfsnetwerk met beheerde computers.
- Ten tweede is de kwetsbaarheid van toepassing op lokale accounts. Dat is vooral interessant omdat als uw pc deel uitmaakt van een domein, u vrijwel zeker een gecentraliseerd domeingebruikersaccount gebruikt en geen lokaal account. En beveiligingsvragen zijn standaard niet toegestaan ​​op domeinaccounts.
Er is ook een derde punt dat nog belangrijker is. Dit alles vereist dat de kwaadwillende actor eerst toegang op beheerdersniveau op het netwerk krijgt. Van daaruit konden ze vervolgens machines identificeren die op het netwerk zijn aangesloten en nog steeds lokale accounts hebben, en vervolgens beveiligingsvragen aan die accounts toevoegen.
Waarom zou je je drukmaken?
Het idee is dat als beheerders de toegang van de kwaadwillende actor ontdekken en intrekken, en vervolgens alle wachtwoorden wijzigen, de actor in theorie terug kan keren naar het netwerk naar deze machines en hun aangepaste vragen kan gebruiken om die wachtwoorden opnieuw in te stellen en weer volledige toegang te krijgen. .
De onderzoekers stelden voor dat ze ook een hash-tool konden gebruiken om het vorige wachtwoord te bepalen, en vervolgens het oude wachtwoord konden herstellen om hun toegang te verbergen. Het probleem hier is dat de meeste domeinennetwerken standaard geen hergebruikte wachtwoorden toestaan.
Toen Ars Technica Microsoft om commentaar vroeg, was het antwoord kort:
De beschreven techniek vereist dat een aanvaller al over beheerderstoegang beschikt
Hoewel dat in het begin misschien stom lijkt, is wat Microsoft suggereert juist, en het brengt ons bij de echte kern van de zaak. Zodra een kwaadwillende actor toegang heeft tot een netwerk op beheerdersniveau, gaan de mogelijke schade en aanvalsmogelijkheden veel verder dan eenvoudige trucs voor het opnieuw instellen van wachtwoorden. En als een netwerk robuust genoeg is om te voorkomen dat de kwaadwillende actor ooit administratief niveau bereikt, dan is dit allemaal betwistbaar.
Dus uiteindelijk zou onze kwaadwillende aanvaller toegang moeten krijgen op beheerdersniveau tot een bedrijfsnetwerk dat een Windows-domein gebruikt, computers met lokale accounts moeten vinden en vervolgens beveiligingsvragen moeten stellen zodat ze daar weer op terug kunnen komen. computers als ze worden ontdekt en buitengesloten. En daar zouden we ons zorgen over moeten maken wanneer hun toegang op beheerdersniveau hen de mogelijkheid geeft om al zoveel meer schade aan te richten.
Begrepen. Dus, is dit op mij van toepassing?
Als u thuis een Windows 10-computer gebruikt, is het korte antwoord vrijwel zeker niet. En hier is waarom:
- Uw thuis-pc is hoogstwaarschijnlijk niet lid van een domein.
- Zelfs als dat het geval was, zou u een lokaal account moeten gebruiken en de meeste mensen op Windows 10 gebruiken waarschijnlijk een Microsoft-account om in te loggen. Dit komt omdat Windows 10 een Microsoft-account vereist om veel functies correct te laten werken. En hoewel u een paar extra stappen kunt nemen om in plaats daarvan een lokaal account te maken, maakt Microsoft dit niet de meest voor de hand liggende keuze. Als je een Microsoft-account gebruikt, heb je niet de mogelijkheid om vragen over wachtwoordherstel te gebruiken.
- Om hiervan te profiteren, moet iemand op afstand of fysieke toegang tot uw pc hebben. En met dat toegangsniveau zijn vragen over het opnieuw instellen van wachtwoorden de minste van uw zorgen.
De kans is dus erg groot dat dit onderzoek niet op jou van toepassing is. Maar zelfs als u een lokaal account gebruikt dat lid is van een domein, komt dit allemaal neer op een eeuwenoude reeks vragen. Hoeveel gemak moet u opgeven in naam van de veiligheid? Omgekeerd, hoeveel zekerheid moet u opgeven in naam van het gemak?
In dit geval is de kans dat een slechte actor toegang krijgt tot uw machine en beveiligingsvragen gebruikt om volledige controle te krijgen, ongelooflijk klein. En de kans dat u uw wachtwoord vergeet en de vragen nodig heeft, is iets groter. Inventariseer uw situatie en maak de beste keuze voor u.
