Методика хищения учетной информации с помощью безопасного режима в операционной системе Windows обнаружена экспертом CyberArk Labs Дороном Наимом.
Как утверждает исследователь, для того, чтобы успешно провести кибератаку, хакер должен сначала заполучить доступ с правами локального администратора к компьютеру или серверу, который управляется Windows. Затем киберпреступник может дистанционно включить безопасный режим для того, чтобы обходить защитные механизмы. Используя безопасный режим, хакер может осуществлять запуск различных инструментов для того, чтобы незаметно собирать учетную информацию и взламывать другие компьютеры в сети. Наим подчеркнул, что данная методика подходит для всех версий Windows, включая десятую, в которой реализован модуль Microsoft Virtual Secure Module.
В безопасном режиме загружаются лишь основные службы и функции, которые необходимы для запуска Windows, и блокируется запуск посторонних программ, включая инструменты безопасности. В результате хакеры могут дистанционно запускать безопасный режим на взломанных компьютерах и осуществлять атаки. Наим отметил, что, ввиду популярности Windows, в зоне риска находятся миллиарды компьютеров и серверов под управлением этой операционной системы.