Como evitar o hack do sethc.exe?


19

Existe uma exploração que permite aos usuários redefinir a senha de administrador no Windows. Isso é feito inicializando a partir de um disco de reparo, iniciando o prompt de comando e substituindo C: \ Windows \ System32 \ sethc.exe por C: \ Windows \ System32 \ cmd.exe.

Quando a combinação de teclas adesivas é pressionada na tela de logon, os usuários obtêm acesso a um prompt de comando com privilégios de administrador.

Essa é uma enorme falha de segurança, torna o sistema operacional vulnerável a qualquer pessoa com o mínimo conhecimento em TI. Quase faz você querer mudar para Mac ou Linux. Como isso pode ser evitado?


3
Eu realmente não entendo o que há de errado nisso. Não é como se não houvesse utilitários por aí que possam redefinir senhas de administrador (como as do BCD ou Win7Live da Hiren). Se o atacante pode alterar o arquivo sethc então ele pode usar alguma utilidade de reset ...
EliadTech

27
Se alguém tiver acesso físico ao seu computador, você poderá se despedir da segurança.
26414 Bert

2
Ele quase faz você querer mudar para linux, onde se você inicializar um disco de reparação você pode apenas mudar a senha de administrador, sem a necessidade de toda a corte ...
pqnet

Respostas:


16

Para impedir que um invasor inicialize a partir de um disco de reparo e use-o para obter acesso ao seu sistema, há várias etapas que você deve executar. Por ordem de importância:

  • Use as configurações do BIOS / UEFI para impedir a inicialização a partir de mídia removível ou exija uma senha para inicializar a partir de mídia externa. O procedimento para isso varia de placa-mãe para placa-mãe.
  • Tranque sua torre. Geralmente, existe uma maneira de redefinir as configurações do BIOS / UEFI (incluindo senhas) se um invasor obtém acesso físico à placa-mãe, portanto, você deve evitar isso. A distância que você percorre depende de fatores como a importância dos dados que você está protegendo, a dedicação de seus invasores, o tipo de segurança física que leva à sua estação de trabalho (por exemplo, é em um escritório que apenas colegas de trabalho podem acessar ou é em uma área isolada aberta ao público) e quanto tempo um invasor típico terá para quebrar sua segurança física sem ser visto.
  • Use algum tipo de criptografia de disco, como BitLocker ou TrueCrypt. Embora isso não impeça que um invasor dedicado reformate seu sistema, se puder obter acesso físico e redefinir a senha do BIOS, impedirá que quase todo mundo obtenha acesso ao sistema (supondo que você proteja bem suas chaves e que o invasor não tenha acesso a qualquer backdoors).

8

O problema aqui é o acesso físico à máquina. Desative a capacidade de inicializar a partir do CD / USB e bloqueie o BIOS com uma senha. No entanto, isso não impedirá que alguém com tempo suficiente sozinho com a máquina a invadir com vários métodos diferentes.


2
+1 Um de muitos ... Você dirigiu um poste, o atacante caminha ao seu redor.
Fiasco Labs 23/03

Se você tiver acesso físico, geralmente é possível redefinir as configurações do BIOS / UEFI para os padrões de fábrica.
Scolytus 31/07

5

O SETHC.exe também pode ser substituído por uma cópia do explorer.exe (ou qualquer outro .exe), fornecendo acesso completo ao nível do sistema a partir da tela de logon. Para não repetir outras pessoas, mas se você estiver falando sobre segurança do servidor, acho que já existe uma certa quantidade de segurança física. Quanto depende do risco aceitável descrito pela sua organização.

Estou postando isso para talvez seguir uma rota diferente. Se você estiver preocupado com o fato de a comunidade de usuários em sua organização poder ou fará isso nas estações de trabalho do Windows 7 (como você descreveu na pergunta), a única maneira de contornar esses tipos de ataques é "mover" a computação para o datacenter. Isso pode ser realizado com qualquer número de tecnologias. Vou escolher os produtos Citrix para uma breve visão geral do processo, embora muitos outros fornecedores ofereçam ofertas semelhantes. Usando o XenApp, o XenDesktop, o Machine Creation Services ou o Provisioning Services, você pode "mover" a estação de trabalho para o datacenter. Neste ponto (desde que o seu datacenter esteja seguro), você terá segurança física na estação de trabalho. Você pode usar thin clients ou estações de trabalho com capacidade total para acessar a área de trabalho hospedada no datacenter. Em qualquer um desses cenários, você precisaria de algum hipervisor como cavalo de batalha. A idéia é que o estado de segurança da máquina física em que o usuário está apresenta um risco minúsculo, independentemente de estar comprometido ou não. Basicamente, as estações de trabalho físicas têm acesso apenas a um número muito limitado de recursos (AD, DHCP, DNS, etc.). Nesse cenário, todos os dados e todo o acesso são concedidos apenas aos recursos virtuais no controlador de domínio e, mesmo que a estação de trabalho ou o thin client esteja comprometido, nenhum ganho poderá ser obtido nesse ponto de extremidade. Esse tipo de configuração é mais para grandes empresas ou ambientes de alta segurança. Apenas pensei em jogar isso fora como uma possível resposta. A idéia é que o estado de segurança da máquina física em que o usuário está apresenta um risco minúsculo, independentemente de estar comprometido ou não. Basicamente, as estações de trabalho físicas têm acesso apenas a um número muito limitado de recursos (AD, DHCP, DNS, etc.). Nesse cenário, todos os dados e todo o acesso são concedidos apenas aos recursos virtuais no controlador de domínio e, mesmo que a estação de trabalho ou o thin client esteja comprometido, nenhum ganho poderá ser obtido nesse ponto de extremidade. Esse tipo de configuração é mais para grandes empresas ou ambientes de alta segurança. Apenas pensei em jogar isso fora como uma possível resposta. A idéia é que o estado de segurança da máquina física em que o usuário está apresenta um risco minúsculo, independentemente de estar comprometido ou não. Basicamente, as estações de trabalho físicas têm acesso apenas a um número muito limitado de recursos (AD, DHCP, DNS, etc.). Nesse cenário, todos os dados e todo o acesso são concedidos apenas aos recursos virtuais no controlador de domínio e, mesmo que a estação de trabalho ou o thin client esteja comprometido, nenhum ganho poderá ser obtido nesse ponto de extremidade. Esse tipo de configuração é mais para grandes empresas ou ambientes de alta segurança. Apenas pensei em jogar isso fora como uma possível resposta. e mesmo se a estação de trabalho ou o thin client estiver comprometido, nenhum ganho poderá ser obtido a partir desse nó de extremidade. Esse tipo de configuração é mais para grandes empresas ou ambientes de alta segurança. Apenas pensei em jogar isso fora como uma possível resposta. e mesmo se a estação de trabalho ou o thin client estiver comprometido, nenhum ganho poderá ser obtido a partir desse nó de extremidade. Esse tipo de configuração é mais para grandes empresas ou ambientes de alta segurança. Apenas pensei em jogar isso fora como uma possível resposta.


Eu configurei exatamente esse ambiente e me ferrei. 2 problemas que não consegui resolver: o usuário quebra a senha do administrador local no thin client e, como o TC está no Active Directory no servidor, o administrador local compartilha uma pasta, mapeia-a na VM e a transfere para fora. Segundo problema: o usuário usa um gravador de tela simples para retirar os dados enquanto inicia um RDP.
AlphaGoku 4/07/16

por que as pastas compartilhadas por um administrador local (não servidor admin) em um xp / win 7 máquina em um domínio do servidor, capaz de compartilhar pastas que podem ser mapeados em uma VM no servidor no Hyper-V
AlphaGoku

3

Apenas desative a execução do prompt de teclas adesivas quando você pressionar Shift 5 vezes. Então, quando o CMD for renomeado para SETHC, ele não será exibido. Resolvido.

Win7:

  1. Iniciar> digite "alterar como o teclado funciona"
  2. Clique na primeira opção
  3. Clique em configurar chaves adesivas
  4. Desmarque a opção Ativar teclas adesivas quando a tecla Shift for pressionada 5 vezes.

Você realmente não precisa ter um disco ou imagem do Windows em um USB para fazer a exploração funcionar. Estou tentando dizer que desativar o PC a partir de uma unidade diferente da unidade interna do sistema não impedirá que a exploração seja executada. Esta solução alternativa é feita redefinindo o computador durante a inicialização e usando um reparo de inicialização para obter acesso ao sistema de arquivos para renomear CMD para SETHC. Claro, é difícil na unidade de disco, mas se você está invadindo a máquina de outra pessoa, não se importa.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.