Onlangs beschreef een groep onderzoekers een scenario waarin vragen over wachtwoordherstel werden gebruikt om in te breken op Windows 10-pc’s. Dit heeft ertoe geleid dat sommigen hebben gesuggereerd om de functie uit te schakelen. Maar u hoeft dit niet te doen als u een thuiscomputergebruiker bent.
Dus, wat is hier aan de hand?
Als Ars Technica voor het eerst gemeld, heeft Windows 10 het afgelopen jaar de mogelijkheid toegevoegd om vragen over wachtwoordherstel in te stellen op lokale accounts. Beveiligingsonderzoekers hebben zich hierin verdiept en ontdekten dat dit op een zakelijk netwerk kan leiden tot potentiële kwetsbaarheid.
Meteen kun je daar twee belangrijke punten herkennen:
Ten eerste is het hele scenario afhankelijk van computers die zijn aangesloten op een domeinnetwerk, het soort dat je zou vinden op een bedrijfsnetwerk met beheerde computers.
Ten tweede is de kwetsbaarheid van toepassing op lokale accounts. Dat is vooral interessant, want als uw pc deel uitmaakt van een domein, gebruikt u vrijwel zeker een gecentraliseerd domeingebruikersaccount en geen lokaal account. En beveiligingsvragen zijn standaard niet toegestaan op domeinaccounts.
Er is ook een derde punt dat nog belangrijker is. Dit alles vereist dat de kwaadwillende actor eerst toegang op beheerdersniveau tot het netwerk krijgt. Van daaruit konden ze vervolgens machines identificeren die op het netwerk zijn aangesloten en die nog steeds lokale accounts hebben en vervolgens beveiligingsvragen aan die accounts toevoegen.
Waarom zou je je drukmaken?
Het idee is dat als beheerders de toegang van de kwaadwillende actor ontdekken en intrekken en vervolgens alle wachtwoorden wijzigen, de actor in theorie terug kan naar het netwerk naar deze machines en hun aangepaste vragen kan gebruiken om die wachtwoorden opnieuw in te stellen en volledige toegang te krijgen. .
De onderzoekers stelden voor dat ze ook een hash-tool konden gebruiken om het vorige wachtwoord te bepalen en vervolgens het oude wachtwoord te herstellen om hun toegang te verbergen. Het probleem hier is dat de meeste domeinnetwerken standaard geen hergebruikte wachtwoorden toestaan.
Toen Ars Technica Microsoft om commentaar vroeg, was het antwoord kort:
De beschreven techniek vereist dat een aanvaller al beheerderstoegang heeft
Hoewel dat in eerste instantie misschien stom lijkt, is wat Microsoft suggereert juist, en het brengt ons bij de echte kern van de zaak. Zodra een kwaadwillende persoon toegang heeft tot een netwerk op beheerdersniveau, gaan de potentiële schade en aanvalsmogelijkheden veel verder dan eenvoudige trucs voor het opnieuw instellen van wachtwoorden. En als een netwerk robuust genoeg is om te voorkomen dat de kwaadwillende actor ooit het administratieve niveau bereikt, dan is dit allemaal onbespreekbaar.
Dus uiteindelijk zou onze kwaadwillende aanvaller op beheerdersniveau toegang moeten krijgen tot een bedrijfsnetwerk dat gebruikmaakt van een Windows-domein, computers moeten vinden waarop mogelijk lokale accounts staan, en vervolgens beveiligingsvragen moeten stellen zodat ze weer toegang kunnen krijgen tot die computers als ze worden ontdekt en buitengesloten. En daar zouden we ons zorgen over moeten maken als hun toegang op beheerdersniveau hen de mogelijkheid geeft om al zoveel meer kwaad te doen.
Begrepen. Dus, geldt dit voor mij?
Als u thuis een Windows 10-computer gebruikt, is het korte antwoord vrijwel zeker niet. En hier is waarom:
Uw thuis-pc is hoogstwaarschijnlijk niet lid van een domein.
Zelfs als dat zo was, zou je een lokaal account moeten gebruiken en de meeste mensen op Windows 10 gebruiken waarschijnlijk een Microsoft-account om in te loggen. Dit komt omdat Windows 10 het gebruik van een Microsoft-account vereist om veel functies correct te laten werken. En hoewel u een paar extra stappen kunt nemen om in plaats daarvan een lokaal account aan te maken, maakt Microsoft dit niet de meest voor de hand liggende keuze. Als u een Microsoft-account gebruikt, heeft u niet de mogelijkheid om vragen voor het opnieuw instellen van wachtwoorden te gebruiken.
Om hiervan te profiteren, zou iemand externe of fysieke toegang tot uw pc moeten hebben. En met dat toegangsniveau zijn vragen over het opnieuw instellen van wachtwoorden de minste van uw zorgen.
De kans is dus zeer groot dat niets van dit onderzoek op u van toepassing is. Maar zelfs als u een lokaal account gebruikt dat bij een domein is aangesloten, komt dit allemaal neer op een eeuwenoude reeks vragen. Hoeveel gemak moet je opgeven in naam van veiligheid? Omgekeerd, hoeveel beveiliging moet u opgeven in naam van het gemak?
In dit geval is de kans dat een kwaadwillende persoon toegang krijgt tot uw machine en beveiligingsvragen gebruikt om volledige controle te krijgen, ongelooflijk klein. En de kans dat je je wachtwoord vergeet en de vragen nodig hebt, is iets groter. Breng uw situatie in kaart en maak de beste keuze voor u.
