Kiedy myślisz o trybie awaryjnym, pierwsze skojarzenie zmniejsza ryzyko złośliwego ataku na komputer. Ponieważ tryb awaryjny uruchamia tylko niezbędne, własne programy w systemie Windows, jest często używany do naprawiania różnych problemów związanych z bezpieczeństwem i innymi problemami systemowymi.
Jest jednak jedna sprzeczność. Chociaż celem trybu awaryjnego jest zapewnienie środowiska wolnego od ryzyka, może on w rzeczywistości narazić komputer na niebezpieczeństwo, jeśli haker w pełni go wykorzysta. Według naukowców z CyberArk Labs, chociaż nie uruchamianie większości programów jest w rzeczywistości dobre dla twojego bezpieczeństwa, może być również bardzo złe w tym samym czasie.
Jeśli atakujący ma zdalny dostęp do komputera użytkownika, może uruchomić system w trybie awaryjnym i przeprowadzić atak. Ponieważ wszystkie potencjalne programy zabezpieczające i antywirusy są wyłączone, nic nie mogłoby powstrzymać złośliwego oprogramowania.
„Oczywiście, osoba atakująca może arbitralnie wymusić ponowne uruchomienie, ale prawdopodobnie będzie to wyglądać podejrzanie dla użytkownika i skłoni do telefonicznego kontaktu z zespołem IT”, - mówi Doron Naim, badacz CyberArk na firmowym blogu. „Zamiast tego, aby pozostać pod radarem, napastnik może również poczekać do następnego restartu lub pokazać ofierze okno„ aktualizacji ”z komunikatem informującym, że komputer musi zostać ponownie uruchomiony. To okno „aktualizacji” można celowo zaprojektować tak, aby wyglądało jak prawdziwe wyskakujące okienko systemu Windows ”.
Gdy atakujący są w trybie awaryjnym, mogą łatwo przechwytywać ważne dane użytkownika, takie jak poświadczenia, a nawet wykonywać ataki typu pass-the-hash, aby włamać się do innych komputerów w tej samej sieci.
Chociaż całkowite wyeliminowanie tego ryzyka jest prawie niemożliwe, istnieją pewne środki bezpieczeństwa zalecane dla przedsiębiorstw. Administratorzy mogą usuwać uprawnienia administratora zwykłym użytkownikom, aby osoby atakujące nie mogły przełączać się z trybu normalnego do trybu awaryjnego, obracać uprzywilejowanych poświadczeń, udostępniać narzędzia bezpieczeństwa w trybie awaryjnym i stale monitorować podejrzaną aktywność, która wiąże się z uruchamianiem komputerów w trybie awaryjnym.