¿Estoy protegido del malware de ejecución automática USB en Windows 7?

13

Por lo que sé, el problema autorun.inf (la posibilidad de ejecutar código automáticamente cuando se enchufa un dispositivo USB) se resolvió mediante las actualizaciones de Windows para XP, y en 7 ya no es posible.

Pero todavía aparece un cuadro de diálogo de reproducción automática cuando se enchufa una memoria USB.

¿Se puede explotar esto, sería posible ejecutar código de alguna manera?

(asumido)

Activos: una sola máquina de escritorio para el hogar que contiene información personal, registros financieros, contraseñas a sitios web, información de contacto para amigos y familiares.

Exposición: ubicada en una residencia personal con poco tráfico individual desconocido.

Amenazas: Conocimiento personal con motivación no financiera o trabajador de servicio con motivación financiera.

    
pregunta JohnnyFromBF 18.10.2011 - 16:36
fuente

5 respuestas

16

Cuando conectas una llave USB, suceden una cantidad considerable de cosas. El sistema operativo primero habla con el dispositivo USB para saber qué tipo de dispositivo es y qué puede hacer. Luego, si el dispositivo dice que es un tipo de disco, el sistema operativo buscará un filesystem en él y luego lo montará y explorar algunos de los archivos. Dependiendo de los archivos encontrados y su nombre, el sistema operativo sugerirá una opción de acciones para el usuario (esa es la ventana emergente que ve). Cualquier fase de ese proceso podría tener errores explotables, y de hecho, numerosos ejemplos de estos han ocurrido históricamente (por ejemplo, el PS3 Jailbreak del año pasado es un dispositivo USB que, internamente, se anuncia a sí mismo como un centro de cuatro dispositivos, uno de los cuales divaga incoherentemente en el bus USB de tal manera que desencadena un desbordamiento de búfer en el controlador USB del sistema operativo).

Por lo tanto, si bien el estado actual de las cosas en Windows es que el sistema operativo no por diseño ejecutará el código malicioso automáticamente, todavía puede hacerlo por error . Que yo sepa, no hay ningún exploit publicado actualmente que lo haga, pero sería improbable que todo ese código esté libre de errores.

Como nota al margen, lo que parece una memoria USB normal puede, internamente, comportarse de manera muy diferente, y (por ejemplo) se muestra a sí mismo como un teclado para el sistema operativo, y comienza a" escribir "inmediatamente. Las posibilidades son casi infinitas. Y un poco de miedo.

    
respondido por el Thomas Pornin 18.10.2011 - 17:50
fuente
7

Según Wikipedia:

  
  • Windows 7

         

    Para todos los tipos de unidades, excepto DRIVE_CDROM, las únicas teclas disponibles en la sección [ejecución automática] son la etiqueta y el icono. Cualquier otra clave en esta sección será ignorada. Por lo tanto, solo los tipos de medios de CD y DVD pueden especificar una tarea de Ejecución automática o afectar el comportamiento de doble clic y clic derecho.

         

    Hay un parche disponible, KB971029 para Windows XP y versiones posteriores, que cambiará la funcionalidad de ejecución automática a este comportamiento.

  •   

enlace

Por lo tanto, esto indicaría que algunas partes de autorun.inf aún son procesadas por Windows 7 luego de la inserción de cualquier medio extraíble. La cantidad de procesado depende de si el medio en cuestión está en la unidad óptica.

No tengo conocimiento de ninguna vulnerabilidad actual conectada específicamente a las teclas label o icon , pero eso no significa que nunca habrá ninguna. También existe la posibilidad de que encuentre un CD / DVD / BD u otro medio óptico infectado donde más de autorun.inf se procesaría. Por lo tanto, para protegerse adecuadamente, todavía recomendaría desactivar el procesamiento de autorun.inf en su totalidad.

Michael Horowitz escribió un excelente artículo de blog sobre cómo funcionan Autorun y Autoplay hace tiempo. Haciendo eco del trabajo realizado por Nick Brown y Emin Atac, el artículo incluyó un truco de registro para deshabilitar todo el procesamiento de autorun.inf . Voy a pegar los detalles del registro de registro a continuación. Echa un vistazo al enlace del artículo para obtener más información.

La solución sugerida implica actualizar el Registro de Windows. Entonces, como siempre, es mejor hacer una copia de seguridad. La solución fue escrita para Windows XP / Vista, pero debería funcionar en 7 también.

  

Zapping en el registro es simple, todo lo que necesita son las tres líneas que se muestran a continuación en un archivo .reg. Luego haga doble clic en el archivo.

     

Puede copiar las tres líneas a continuación desde esta página web o descargar el archivo usando el enlace al final de esta publicación. El nombre del archivo no es importante, aparte de que debería terminar con ".reg". Computerworld no permite adjuntar archivos que terminen con ".reg" a una publicación de blog, por lo que el tipo de archivo es ".txt" y tendrá que cambiarle el nombre para que termine con ".reg".

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
  

Tenga en cuenta que hay tres líneas en el archivo, la línea central puede ajustarse cuando se muestra con un navegador web, pero debe ser una sola línea en el archivo .reg.

     

Nick Brown explica lo que hace esto:

     
    

Este truco le dice a Windows que trate a AUTORUN.INF como si fuera un archivo de configuración de una aplicación anterior a Windows 95 ... dice "siempre que tenga que manejar un archivo llamado AUTORUN.INF, no use los valores del archivo. Encontrará valores alternativos en HKEY_LOCAL_MACHINE \ SOFTWARE \ DoesNotExist ". Y dado que esa clave, er, no existe, es como si AUTORUN.INF estuviera completamente vacío, y por lo tanto nada se ejecuta automáticamente, y nada se agrega a la acción de doble clic del Explorador. Resultado: los gusanos no pueden entrar, a menos que comiences a hacer doble clic en los ejecutables para ver qué hacen ...

  
     

El texto "DoesNotExist" en la tercera línea está destinado a ser un lugar en el registro que no existe. Si este zapato se vuelve muy popular, el malware lo puede buscar, por lo que no se pierde nada con cambiarlo un poco. Por ejemplo, podría usar algo como      @="@ SYS: DoesNotExistMichael"   en mis computadoras Para ser claros, esto no es en absoluto requerido. El zap como se muestra arriba funciona bien.

enlace

Por supuesto, esto no hace mucho contra las memorias USB que se presentan al sistema como algo distinto de lo que realmente son. La mejor solución es simplemente no conectar ningún dispositivo en el que no confíe. Y no conecte ningún dispositivo en el que confíe en sistemas en los que no.

Para obtener información adicional sobre Autorun / Autoplay y cómo funcionan, consulte los sitios web que ya se mencionan. Además, echa un vistazo a estos enlaces de Wikipedia:

enlace
enlace

    
respondido por el Iszi 18.10.2011 - 23:47
fuente
4

El comportamiento predeterminado es mostrar la ventana emergente. La ventana emergente escanea los medios en busca de tipos de archivos y hace una conjetura educada sobre lo que podría querer hacer. Con el comportamiento predeterminado, la única forma de explotarlo es a través de una vulnerabilidad en el código emergente que lee el contenido de los medios, que no existe en este momento [en la naturaleza].

    
respondido por el Steve 18.10.2011 - 16:53
fuente
1

No estás protegido y corres mucho riesgo

Autorun.inf es un antiguo ataque que ya no debería funcionar pero este no es el único vector de ataque que usa USB.

BadUSB es donde el firmware se ha modificado en un dispositivo USB para emular otros dispositivos y ampliar sus capacidades. Recuerde que el USB es solo una especificación para dispositivos que se conectan y diferentes dispositivos se ejecutan en diferentes niveles o privilegios, el almacenamiento no se ejecuta al mismo nivel que un teclado. Con la capacidad extendida, un dispositivo de almacenamiento se verá como un teclado cuando se conecte a una máquina.

Un posible escenario podría ser este:

  

Conectas una memoria USB, lo siguiente que sabes es que se está ejecutando el código. Esto es posible debido a que el dispositivo emula un   dispositivo USB del teclado y el suministro de entrada a su sistema, como por ejemplo corto   corte las teclas para abrir PowerShell y luego ejecute el código.

BadUSB se puede encontrar en productos comerciales que se pueden comprar y que utilizan esta vulnerabilidad, como Bashbunny y patito de goma .

Además, hay guías para crear su propio desde cero Como se encuentra aquí

    
respondido por el McMatty 17.09.2018 - 04:02
fuente
0

Absolutamente no

El problema con la ejecución automática puede solucionarse, pero cualquier dispositivo USB puede presentarse fácilmente como un teclado o mouse al sistema operativo y usarlo para descargar malware. Este es un riesgo que se aplica independientemente de la plataforma , a menos que el sistema operativo requiera un cuadro de diálogo de confirmación antes de permitir que el usuario instale nuevos dispositivos USB, que no conozco ninguno que lo haga.

Mire en Teensy si desea intentar crear una prueba de concepto de cómo podría ejecutarse tal ataque. Es realmente importante solo conectar dispositivos USB en su computadora en los que confíe .

    
respondido por el Gelatin 17.09.2018 - 00:42
fuente

Lea otras preguntas en las etiquetas