Als u aan Veilige modus denkt, wordt uw eerste associatie verminderd met het risico van een kwaadwillende aanval op uw computer. Omdat de Veilige modus alleen essentiële, eigen programma's in Windows uitvoert, wordt het vaak gebruikt voor het oplossen van verschillende beveiligings- en andere systeemproblemen.
Er is echter één tegenstrijdigheid. Hoewel het doel van de Veilige modus is om een risicovrije omgeving te bieden, kan het uw computer zelfs in gevaar brengen als een hacker er volledig gebruik van maakt. Volgens onderzoekers van CyberArk Labs, hoewel het niet uitvoeren van de meeste programma's eigenlijk goed is voor uw veiligheid, kan het tegelijkertijd ook heel slecht zijn.
Als een aanvaller externe toegang heeft tot de computer van een gebruiker, kan hij opstarten in de veilige modus en een aanval uitvoeren. Aangezien alle potentiële beveiligingsprogramma's en antivirussen zijn uitgeschakeld, zou niets schadelijke software kunnen tegenhouden.
"Natuurlijk kan de aanvaller willekeurig een herstart forceren, maar dit ziet er waarschijnlijk verdacht uit voor de gebruiker en leidt tot een telefoontje naar het IT-team," zegt CyberArk-onderzoeker Doron Naim op de blog van het bedrijf. “Om onder de radar te blijven, kan de aanvaller ook wachten tot de volgende herstart of het slachtoffer een 'update'-venster laten zien met een bericht waarin staat dat de pc opnieuw moet worden opgestart. Dit 'update'-venster kan met opzet zijn ontworpen om eruit te zien als een legitieme Windows-pop-up ".
Zodra aanvallers zich in de veilige modus bevinden, kunnen ze gemakkelijk belangrijke gebruikersgegevens zoals inloggegevens vastleggen en zelfs pass-the-hash-aanvallen uitvoeren om in te breken op andere computers op hetzelfde netwerk.
Hoewel het bijna onmogelijk is dit risico volledig weg te nemen, zijn er enkele beveiligingsmaatregelen die voor ondernemingen worden aanbevolen. Beheerders kunnen beheerdersrechten van normale gebruikers verwijderen, zodat aanvallers niet kunnen overschakelen van de normale naar de veilige modus, bevoegde inloggegevens kunnen roteren, beveiligingshulpmiddelen beschikbaar kunnen maken in de veilige modus en voortdurend verdachte activiteiten kunnen volgen waarbij pc's worden opgestart in de veilige modus.