El software del módem USB instala autorun.inf parser, ¿existen riesgos?

5

Un importante fabricante de dispositivos de telecomunicaciones envía su módem USB con software auxiliar y controladores para que el usuario pueda conectarse a Internet y enviar / recibir SMS.

Dado que las versiones recientes de Windows ya no ejecutan los archivos autorun.inf automáticamente, han incluido un componente con el controlador que ejecuta los archivos autorun.inf automáticamente desde dispositivos similares; Los archivos autorun.inf de las unidades USB no parecen ser ejecutados por el controlador. (Supongo que comprueba la ID del dispositivo antes de ejecutar el archivo autorun.inf).

¿Existe algún riesgo asociado con dicho componente del controlador?

    
pregunta user2064000 07.10.2016 - 08:37
fuente

3 respuestas

2

La ejecución automática solía estar habilitada de forma predeterminada en Windows XP, y ejecutaría cualquier archivo al que se hace referencia con autorun.inf cuando se conecta una unidad de almacenamiento. Solía ser muy fácil de ejecutar malware desde una unidad USB, simplemente refiérase a ella el archivo de ejecución automática y deje que Windows haga el resto.

Se inhabilitó en Windows Vista y más tarde por razones obvias, y sin embargo, este software reimplementa su funcionalidad, probablemente como una solución económica para que no tengan que imprimir un folleto de información que indique a los usuarios que ejecuten el software manualmente.

La verificación de las ID de USB no es suficiente, ya que un dispositivo no autorizado puede enumerar como cualquier dispositivo, incluido el módem original, y presentar un archivo no autorizado. La verificación de una firma también es arriesgada, ya que no sabe qué tan bien está protegida la clave privada asociada (no le confiaría a nadie que piense que este software es una buena idea con una clave privada). También puede haber vulnerabilidades en el código que verifica el dispositivo en sí.

Finalmente no sabemos cómo se implementa esto. Si esto se ejecuta como un servicio bajo el usuario del sistema, entonces no solo ejecutará código potencialmente no confiable de USB sino que también lo ejecutará como SISTEMA. Peor aún, esto podría implementarse como un controlador de dispositivo, lo que significa que el código malicioso podría ejecutarse con privilegios aún más altos.

Este dispositivo es una mala idea por completo: tíralo en la papelera y obtén un puente de Wi-Fi móvil < - > los que no requieren controladores ocultos y aparecen como cualquier host no confiable en la red, algo que Puede defenderse contra con un firewall.

    
respondido por el André Borie 05.01.2017 - 14:00
fuente
2

Por supuesto: Sabiendo esto, el atacante podría construir dispositivos USB falsos con la misma ID para hacer que autorun pueda ejecutar su malware ...

    
respondido por el F. Hauri 05.01.2017 - 14:10
fuente
0

La mejor práctica es deshabilitarlo completamente. pero no se puede decir nada al respecto, a menos que intentes analizar qué está haciendo en segundo plano. puede instalar una utilidad llamada Process Explorer, y analizar un proceso específico, abrir los manejadores de archivos y la conexión de red para analizar qué está haciendo (si desea hacer un análisis por su cuenta)

    
respondido por el Hamza Islam 07.10.2016 - 08:52
fuente

Lea otras preguntas en las etiquetas