Дані користувачів Windows на ПК з підтримкою сенсорного введення пишуться в окремий файл
Велика кількість моделей ноутбуків і all-in-one робочих станцій в наш час мають підтримку сенсорного введення. Це зроблено для зручності користувача і прискорення процесу його роботи. Але, як виявилося, у комп’ютерних систем з активованою підтримкою тач-введення є одна маловідома функція, яка ставить під загрозу дані користувачів таких систем.
Мова йде про пристрій під управлінням операційної системи від Microsoft. Справа в тому, що якщо комп’ютер з активованим тач-введенням управляється за допомогою ОС Windows, то дані користувача цієї системи, включаючи логіни і паролі, збираються в окремий файл, причому практично у відкритому вигляді. Ця функція працює не на всіх підряд Windows-ПК з тач-введенням, а лише про тих з них, де включено розпізнавання рукописного тексту.
Вперше Microsoft додала таку можливість у свою ОС Windows 8. Проблема в тому, що дані, з якими працює користувач, зберігаються в окремий файл, який погано захищений від зовнішнього втручання. Цей файл називається WaitList.dat, один з експертів з мережевої безпеки виявив, що після активації рукописного введення файл постійно оновлюється. WaitList.dat генерується системою відразу ж після включення опції розпізнавання рукописного введення.
Після цього дані практично будь-якого документа або email, проіндексованих Windows Search, виявляються збереженими у вказаному файлі. Варто підкреслити, що мова йде зовсім не про метадані, а про текстову інформацію з документів. Для того, щоб інформація перекочувала в цей файл, користувачеві не потрібно відкривати повідомлення електронної пошти або doc-файли. Як тільки вони опиняються проіндексованими службою Windows, все автоматично зберігається в зазначеній локації.
Барнабі Скеггс, фахівець з інформаційної безпеки, який одним з перших виявив зазначену проблему в Windows, говорить, що файл WaitList.dat на його ПК зберігає «вижимку» тексту з будь-якого текстового документа або повідомлення електронної пошти. Причому це справедливо навіть у тому випадку, якщо вихідний файл видалено — в WaitList.dat інформація продовжує зберігатися.
«Якщо вихідний файл видалено, його проіндексовані дані продовжують зберігатися в WaitList.dat», — говорить експерт. Це, в теорії дає широкі можливості зловмисникам, які з тієї або іншої причини вирішили вивчити дані певних користувачів.
Варто зазначити, що сама проблема не є секретом. Той же Скеггс написав про неї вперше в 2016 році, причому його пост отримав мінімальну увагу технічних фахівців. Наскільки можна зрозуміти, розробники технології найбільше турбувалися про DFIR, і менше — про мережеву безпеку конкретного користувача. До пори До часу проблему широко не обговорювали.
Минулого місяця Скегг прийшов до висновку, що зловмисники можуть (теоретично) без проблем красти дані користувачів. Наприклад, якщо у атакуючого є доступ до асистеми атаки, і йому потрібні паролі і логіни користувача зламаного ПК, то йому не потрібно шукати скрізь і всюди обривки логінів і паролів, мати справу з хэшами і т. п. — потрібно лише проаналізувати файл WaitList.dat і отримати всі необхідні дані.
Навіщо шукати інформацію по всьому диску, тим більше, що багато документів можуть бути запаролені? Достатньо просто скопіювати файл WaitList.dat і далі займатися аналізом його вже на своїй стороні.
PowerShell command:
Stop-Process -name “SearchIndexer” -force;Start-Sleep -m 500;Select-String -Path $env:USERPROFILEAppDataLocalMicrosoftInputPersonalizationTextHarvesterWaitList.dat -Encoding unicode -Pattern “password”
— Barnaby Skeggs (@barnabyskeggs) August 26, 2018
Варто зазначити, що експерт з мережевої безпеки, виявив проблему, не звертався в Microsoft. Він вважає, що це не баг, а фіча», тобто розробники операційної системи Windows спеціально розробили систему такою, якою вона є зараз. Відповідно, якщо це не вразливість, то розробникам про неї добре відомо і вони можуть у будь-який момент вирішити проблему.
За словами Сеггса, розташування файлу таке:
C:Users%User%AppDataLocalMicrosoftInputPersonalizationTextHarvesterWaitList.dat
Якщо в «Personalised Handwriting Recognition» немає необхідності, то найкраще її відключити назовсім. У цьому випадку індексація файлів не призводить до збереження всіх без винятку даних у вказаному файлі.
