De Veilige Modus van Windows kan een aanvaller die al volledige controle over een computer heeft helpen zich te verbergen en gegevens te stelen, zo waarschuwt een Amerikaans beveiligingsbedrijf. De Veilige Modus laat Windows in een beperkte omgeving zonder drivers en andere programma's starten.

Het is onder andere bedoeld om problemen te analyseren en te verhelpen. Beveiligingsbedrijf CyberArk claimt nu dat een aanvaller van Veilige Modus gebruik kan maken om onopgemerkt te blijven. Hiervoor is het wel nodig dat de aanvaller beheerdersrechten op de computer heeft. Vervolgens kan de aanvaller de instellingen van het systeem veranderen zodat bij de volgende herstart Windows in Veilige Modus wordt geladen.

De aanvaller zorgt er vervolgens voor dat zijn aanvalstools in Veilige Modus worden geladen. Hierna herstart hij het systeem in Veilige Modus. Om het slachtoffer niets te laten vermoeden dat het systeem in Veilige Modus is gestart, dat duidelijk verschilt van de normale desktopomgeving, kan hij de vormgeving van Veilige Modus aanpassen. Om ervoor te zorgen dat de gebruiker niets vermoedt als het systeem in Veilige Modus wordt herstart kan er bijvoorbeeld in de oorspronkelijke desktopomgeving een vals updatevenster worden getoond.

Zodra de computer in Veilige Modus is gestart kunnen de tools van de aanvallers allerlei gegevens verzamelen. Volgens CyberArk heeft dit als voordeel dat veel beveiligingspakketten niet goed in Veilige Modus werken, waaronder ook Microsofts Virtual Secure Module (VSM). CyberArk rapporteerde het probleem al op 2 mei aan Microsoft. De softwaregigant liet dezelfde dag weten dat het niet om een kwetsbaarheid gaat, aangezien de aanval alleen vanaf een al volledig gecompromitteerd systeem is uit te voeren. Het beveiligingsbedrijf besloot de bevindingen daarom nu openbaar te maken en adviseert bedrijven beveiligingssoftware te gebruiken die ook in Veilige Modus werkt.