¿Hasta dónde puede llegar un ataque MitM si se realiza con derechos de administrador en la PC de destino?

-3

Imagina el escenario:

  • el atacante tiene acceso de administrador a una máquina (ya sea Windows, macOS o el popular sistema Linux)
  • el defensor es un usuario clásico (ni malo ni bueno)
  • el objetivo es leer datos confidenciales que normalmente están encriptados sobre TLS (por ejemplo, inicio de sesión de stackexchange)
  • no se permiten muchos cambios en la UI (por ejemplo, el defensor no irá a un sitio web "sospechoso" si el navegador lo dice)
pregunta Maxim 22.01.2018 - 15:33
fuente

2 respuestas

2

Un atacante que tiene derechos de administrador puede hacer todo en esa máquina. La máquina está comprometida. Un usuario en esta máquina no puede hacer nada para evitar esto.

El atacante puede cambiar el ejecutable del cliente de la forma que desee. Debido a esto, la autenticación de transporte no ayuda de ninguna manera.

    
respondido por el Josef 22.01.2018 - 15:53
fuente
-1

Esta es una pregunta amplia, así que la responderé de manera amplia. Un atacante con privilegios de administrador en el equipo de las víctimas podría permitirles instalar un nuevo certificado SSL raíz que esté firmado y en poder del atacante. Ahora, la computadora víctima confiará en este certificado como si fuera distribuido por una autoridad confiable real (es decir, LetsEncrypt).

Al hacer esto, el atacante puede lanzar un ataque MitM simulando ser el servidor al que el usuario accede a través de HTTPS. En otras palabras, el usuario envía una solicitud para enlace . El atacante analiza esa solicitud, la bloquea, se pone en contacto con Google en la computadora MitM y crea una conexión HTTPS entre Google y el cálculo de ataque. Luego crea una conexión HTTPS entre el ataque y la computadora víctima con el certificado firmado por el atacante (y ahora enraizado), lo que permite que la computadora del ataque aparezca como un servidor seguro en la computadora víctima. La computadora de ataque luego envía la página web a la víctima.

Al hacerlo, el atacante ahora puede ver y manipular todos los datos que el usuario envía y recibe a pesar de que se trata de HTTPS. Sin los privilegios de administrador y la capacidad de instalar ese certificado, el atacante aún puede hacer todo esto, pero habría visto uno de esos grandes certificados sin advertencias auténticas.

Espero que ayude!

    
respondido por el dFrancisco 22.01.2018 - 15:58
fuente

Lea otras preguntas en las etiquetas