Bezpečnost | Cortana | Hacking

Cortana byla děravá. Útočník mohl ze zamknuté obrazovky oběti změnit heslo do systému

Cortana byla děravá. Útočník mohl ze zamknuté obrazovky oběti změnit heslo do systému

Pro jednou je dobře, že u nás není Cortana k dispozici, chytrá asistentka Microsoftu, která je součástí Windows 10, totiž nemusela pomoci jen majiteli počítače, ale i potenciálnímu záškodníkovi.

Experti z McAfee na blogu popsali zajímavý a vlastně naprosto primitivní útok, v rámci kterého dokázali pomocí Cortany na zamknutém počítači spustit skript PowerShellu. V něm už mohlo být cokoliv – třeba sekvence příkazů k resetu hesla uživatele na 1234.

Klepněte pro větší obrázek
Při práci s Cortanou na zamknuté obrazovce bylo možné aktivovat našeptávač, dohledat konzoli PowerShellu a spustit skript, který byl buď na internetu, anebo na flešce připojené skrze USB.

Demonstrace na videu tak ukazuje, jak expert vloží do USB portu flešku s PS skriptem a pak jej spustí, i když je displej zamknutý. Na pozadí je však stále běží sezení uživatele a právě s jeho právy se vše zpracuje. Za pár sekund už skript změnil heslo a útočník se přihlásil k účtu oběti s heslem 1234.

Klepněte pro větší obrázek
Zadání příkazu do našeptávače Cortany na zamknuté obrazovce. Tento je neškodný, pouze vygeneruje 2s 2000Hz tón.

Minulý čas je však na místě, McAfee totiž zranitelnost zveřejnil až poté, co Microsoft chybu opravil v poslední úterní várce záplat.

Podívejte se na videodemonstraci velmi rychlého průniku do zamknutého počítače

Ovládnutí počítače skrze Cortanu bylo možné pouze tehdy, pokud uživatel sám povolil její běh na zamknuté obrazovce. To by samo o sobě nebyl až takový problém, kdyby Cortana neměla na zamknuté obrazovce tak vysoká práva a vedle běžných dotazů a odpovědí na počasí apod. neuměla spouštět i programy na počítači – včetně zmíněného PowerShellu.

Diskuze (13) Další článek: Bezpečnostní zranitelnosti se týkají i našich mazlíčků – psů

Témata článku: Software, Microsoft, Bezpečnost, Windows 10, Operační systémy, Cortana, Heslo, USB, Hacking, April 2018 Update, McAfee, Vysoké právo, Chytrá asistentka, Skript, Hesl, PowerShell, Obrazovka, Našeptávač, Minulý čas, Flashka, Počítač


Určitě si přečtěte

Jak odposlouchávat sousedy: Bizarní Lamphone a další netušené techniky

Jak odposlouchávat sousedy: Bizarní Lamphone a další netušené techniky

** Lamphone je další bizarní technika odposlechu ** Zneužívá obyčejnou stropní lampu ** Podívejte se na další bizarní experimenty

Jakub Čížek | 16

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

** Total Commander je fernomén mezi správci souborů ** Našli jsme 11 povedených alternativ ** Zvládnou to samé a ke všemu jsou většinou zadarmo

Karel Kilián | 86

Nové názvy, upravený vývoj. Microsoft ukázal, jak teď bude vydávat Windows 10

Nové názvy, upravený vývoj. Microsoft ukázal, jak teď bude vydávat Windows 10

** Podzimní vydání Windows 10 přinese jen minimum novinek ** Aktualizace ponese formální označení 20H2 ** Microsoft mění názvy v programu Windows Insider

Lukáš Václavík | 17

Vyrobíme si falešný Mac mini za tisícovku. Stačí Raspberry Pi a 3D tiskárna

Vyrobíme si falešný Mac mini za tisícovku. Stačí Raspberry Pi a 3D tiskárna

** Vyzkoušíme Raspberry Pi 4 s iRaspbianem ** Operační systém vypadá skoro jako macOS ** Vše strčíme do vlastní stylové krabice

Jakub Čížek | 30

Apple má šanci definitivně se uzamknout. macOS byl na jeho poměry až příliš otevřený

Apple má šanci definitivně se uzamknout. macOS byl na jeho poměry až příliš otevřený

** Apple, vývojáře i uživatele rozhodně nečekají dva roky prázdnin ** macOS se může uzavřít podobně jako iOS a iPadOS ** Přechod na Arm znamená stopku pro hackintoshe

Lukáš Václavík | 102

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

Ubuntu 20.04: Zase vás chce přesvědčit, že je lepší než Windows

** Britský Canonical před pár dny vydal novou verzi svého Ubuntu ** 20.04 LTS zapracovalo na grafickém desktopu, rychlosti i bezpečnosti ** V nitru tepe Linux 5.4 a volitelně i nový souborový systém

Jakub Čížek | 122


Aktuální číslo časopisu Computer

Megatest SSD s kapacitou 1 TB

Srovnávací test robotických vysavačů

Vybíráme nejlepší telefony na trhu

Jak zlepšit zvuk televize