Eine große Anzahl von Laptop-Modellen und All-in-One-Workstations bietet heutzutage Unterstützung für Berührungseingaben. Dies geschieht zum Vorteil des Benutzers und beschleunigt den Prozess seiner Arbeit. Wie sich herausstellte, haben Computersysteme mit aktivierter Unterstützung für Berührungseingaben eine wenig bekannte Funktion, die die Daten der Benutzer solcher Systeme gefährdet.
Wir sprechen über Geräte, auf denen das Betriebssystem von Microsoft ausgeführt wird. Tatsache ist, dass, wenn ein Computer mit aktivierter Berührungseingabe unter Windows gesteuert wird, die Benutzerdaten dieses Systems, einschließlich Anmeldungen und Kennwörtern, in einer separaten Datei und in fast offener Form gesammelt werden. Diese Funktion funktioniert nicht auf allen Windows-PCs mit Berührungseingabe, sondern nur auf solchen, auf denen die Handschrifterkennung aktiviert ist.
Zum ersten Mal hat Microsoft diese Funktion zu Windows 8 hinzugefügt. Das Problem besteht darin, dass die Daten, mit denen der Benutzer arbeitet, in einer separaten Datei gespeichert werden, die nur unzureichend vor externen Störungen geschützt ist. Diese Datei heißt WaitList.dat. Einer der Experten für Netzwerksicherheit stellte
fest, dass die Datei nach Aktivierung der Handschrift ständig aktualisiert wird. WaitList.dat wird vom System unmittelbar nach dem Aktivieren der Handschrifterkennungsoption generiert.
Danach werden die Daten fast aller von Windows Search indizierten Dokumente oder E-Mails in der angegebenen Datei gespeichert. Hervorzuheben ist, dass es sich überhaupt nicht um Metadaten handelt, sondern um Textinformationen aus Dokumenten. Damit Informationen in diese Datei migriert werden können, muss der Benutzer keine E-Mail-Nachrichten oder Dokumentdateien öffnen. Sobald sie vom Windows-Dienst indiziert werden, wird alles automatisch am angegebenen Speicherort gespeichert.
Barnaby Skeggs, eine Informationssicherheitsspezialistin, die als eine der ersten dieses Problem unter Windows festgestellt hat,
sagt, dass die Datei WaitList.dat auf seinem PC einen „Druck“ von Text aus einem Textdokument oder einer E-Mail-Nachricht speichert. Dies gilt auch dann, wenn die Originaldatei gelöscht wird - in WaitList.dat werden die Informationen weiterhin gespeichert.
"Wenn die Quelldatei gelöscht wird, werden ihre indizierten Daten weiterhin in WaitList.dat gespeichert", sagt der Experte. Dies bietet Angreifern theoretisch zahlreiche Möglichkeiten, die sich aus dem einen oder anderen Grund dazu entschließen, die Daten bestimmter Benutzer zu untersuchen.
Es ist erwähnenswert, dass das Problem selbst kein Geheimnis ist. Dieselben Skeggs haben 2016 zum ersten Mal über sie geschrieben, und sein Beitrag wurde von technischen Experten nur minimal beachtet. Soweit Sie verstehen, waren die Entwickler der Technologie am meisten besorgt über DFIR und weniger über die Netzwerksicherheit eines bestimmten Benutzers. Das Problem wurde vorerst nicht umfassend diskutiert.
Im vergangenen Monat kam Skegg zu dem Schluss, dass Angreifer (theoretisch) Benutzerdaten leicht stehlen können. Wenn ein Angreifer beispielsweise Zugriff auf das angegriffene System hat und Kennwörter und Benutzeranmeldungen eines gehackten PCs benötigt, muss er nicht überall nach Ausschnitten von Anmeldungen und Kennwörtern suchen, sich mit Hashes usw. befassen. - Sie müssen nur die Datei WaitList.dat analysieren und alle erforderlichen Daten abrufen.
Warum nach Informationen auf der gesamten Festplatte suchen, zumal viele Dokumente durch ein Passwort geschützt werden können? Kopieren Sie einfach die Datei WaitList.dat und analysieren Sie sie auf Ihrer Seite weiter.
Es ist erwähnenswert, dass der Netzwerksicherheitsexperte, der das Problem entdeckt hat, Microsoft nicht kontaktiert hat. Er glaubt, dass dies kein „Fehler, sondern eine Funktion“ ist, dh die Entwickler des Windows-Betriebssystems haben das System speziell für das entwickelt, was es jetzt ist. Wenn dies keine Sicherheitsanfälligkeit ist, sind sich die Entwickler dessen bewusst und können das Problem jederzeit lösen.
Laut Seggs ist der Standardspeicherort für Dateien:
C: \ Benutzer \% Benutzer% \ AppData \ Local \ Microsoft \ InputPersonalization \ TextHarvester \ WaitList.datWenn "Personalisierte Handschrifterkennung" nicht erforderlich ist, schalten Sie sie am besten vollständig aus. In diesem Fall werden beim Indizieren von Dateien nicht ausnahmslos alle Daten in der angegebenen Datei gespeichert.