¿Existe alguna vulnerabilidad de USB para omitir el inicio de sesión de contraseña de Windows?

1

Trabajo para una pequeña y mediana empresa que realiza la mayoría de las tareas de TI, incluida la administración de sistemas, la administración de redes e incluso el desarrollo de software interno. Recientemente, mi jefe (el director ejecutivo) me dijo que se había robado un dinero de la empresa (electrónicamente, como una transferencia bancaria o algo así) y que hubo una clara indicación de que lo había hecho uno de nuestros empleados.

La compañía contrató a un tercero para investigar y una cosa que hicieron fue revisar una serie de estaciones de trabajo, incluidos los CEO. Una cosa que me llamó la atención fue que me dijo que el "investigador" quería mirar a través de su computadora, que estaba bloqueada o no había iniciado sesión en absoluto. Se ofreció a escribir su contraseña para que el hombre pudiera hacer lo que necesitaba, pero se negó y luego conectó una memoria USB y, de repente, inició sesión en la cuenta.

He intentado buscar en línea información sobre una vulnerabilidad de USB como esta, pero encontré información sobre la vulnerabilidad de BadUSB, que en realidad no parece que se aplique aquí.

¿Alguien sabe de alguna explotación USB como esta?

La computadora ejecuta Windows 10 de 64 bits.

    
pregunta Gogeta70 06.09.2017 - 23:18
fuente

3 respuestas

1

Hay una categoría de dispositivos de memoria USB programables que se ejecutan en atmel o microprocesadores similares que actúan como hid's . En breve, un HID es plug-n-play. ¡Sin controles de seguridad, sin preguntas! Probablemente podría haberlo programado de una manera que ejecutaría tales comandos del sistema, le daría acceso a una cuenta. No es tan dificil. Windows carga todas las contraseñas en la memoria. Y dado que hid se ejecuta en un servicio de alto privilegio, no es difícil darle a su código los derechos para realizar estas tareas.

Marque estos: rubber ducky , HIDIOT e incluso Arduino . Dado que sus microcontroladores son capaces y hay bibliotecas, ¿por qué el código de los desarrolladores debe limitarse al uso legítimo? ;)

EDITAR: Desde que se solicitó, encontré algunos ejemplos de código que funciona con dispositivos como este:

enlace .

Entonces, sí, los dispositivos ocultados como estos pueden ejecutar código.

También encontré otro tipo de ataque USB: enlace

    
respondido por el Chris Tsiakoulas 07.09.2017 - 12:43
fuente
2

Arrojando algunas ideas alternativas:

Un ataque de tipo tortuga LAN que obtiene los hashes a través de un dispositivo de red, los agrieta in situ, cambia a HID e ingresa la contraseña. Esto es inverosímil porque el cracking llevaría un tiempo considerable en un dispositivo integrado (a menos que fuera una "contraseña").

Un USB de arranque que automatiza un reinicio usando HID y ejecutando konboot, luego reinicia nuevamente en Windows para iniciar sesión. Esto es un poco exagerado porque tendría que conocer el orden de inicio de antemano (aunque si se probaron varias computadoras antes, quizás todas estuvieran en el mismo estado y el dispositivo estuviera preconfigurado). También es probable que tome un minuto o dos y no se ejecute como se describe.

Un ataque DMA que usa algo como FireWire en lugar de USB, realmente puede realizar ataques como el que se menciona, pero supuestamente ha sido parchado en las pantallas de bloqueo de Windows 10 (los dispositivos con controladores DMA no se cargan en un dispositivo bloqueado).

Sin embargo, creo que tal vez se perdió algo o que la información de segunda mano fue un poco un adorno.

    
respondido por el user2867314 07.09.2017 - 13:09
fuente
-1

Puede crear un disco de restablecimiento de contraseña con la ayuda de una Clave de contraseña de Windows, luego usar la herramienta para omitir la contraseña de Windows 10 .

    
respondido por el Chan Jack 28.08.2018 - 09:26
fuente

Lea otras preguntas en las etiquetas