Quando você pensa no Modo de segurança, sua primeira associação é o risco reduzido de ataques mal-intencionados ao seu computador. Como o Modo de segurança executa apenas programas essenciais e primários no Windows, é freqüentemente usado para corrigir vários problemas de segurança e outros problemas.
No entanto, há uma contradição. Embora o objetivo do Modo de segurança seja fornecer um ambiente sem riscos, ele pode realmente deixar seu computador em perigo se um hacker tirar o máximo proveito dele. De acordo com pesquisadores do CyberArk Labs, embora não executar a maioria dos programas seja bom para a sua segurança, também pode ser muito ruim ao mesmo tempo.
Se um invasor tiver acesso remoto ao computador de um usuário, ele pode inicializar no Modo de Segurança e lançar um ataque. Uma vez que todos os programas de segurança e antivírus potenciais estão desligados, não haveria nada para impedir um software malicioso.
“Claro, o invasor pode forçar arbitrariamente uma reinicialização, mas isso provavelmente parecerá suspeito para o usuário e solicitará uma ligação para a equipe de TI,” diz o pesquisador da CyberArk Doron Naim, escrevendo no blog da empresa. “Em vez disso, para permanecer sob o radar, o invasor também pode esperar até a próxima reinicialização ou mostrar à vítima uma janela de 'atualização' com uma mensagem dizendo que o PC deve ser reiniciado. Esta janela de 'atualização' pode ser propositalmente projetada para se parecer com um pop-up legítimo do Windows ”.
Depois que os invasores estão no Modo de segurança, eles podem capturar facilmente dados importantes do usuário, como credenciais e até mesmo executar ataques pass-the-hash para invadir outros computadores na mesma rede.
Embora a remoção completa desse risco seja quase impossível, existem algumas medidas de segurança recomendadas para empresas. Os administradores podem remover privilégios de administrador de usuários normais para que os invasores não sejam capazes de alternar do modo Normal para o modo de segurança, alternar credenciais privilegiadas, disponibilizar ferramentas de segurança no modo de segurança e monitorar continuamente qualquer atividade suspeita que envolva a inicialização dos PCs no modo de segurança.