Como evitar o hack sethc.exe?

Navegue suas respostas
14

Há uma exploração que permite aos usuários redefinir a senha do administrador no Windows. Isso é feito inicializando a partir de um disco de reparação, iniciando o prompt de comando e substituindo C: \ Windows \ System32 \ sethc.exe por C: \ Windows \ System32 \ cmd.exe.

Quando a combinação de teclas adesivas é pressionada na tela de logon, os usuários obtêm acesso a um prompt de comando com privilégios de administrador.

Esta é uma enorme falha de segurança, tornando o SO vulnerável a qualquer pessoa com o menor conhecimento de TI. Quase faz você querer mudar para o Mac ou Linux. Como isso pode ser evitado?

    
por Jesus Pedro 23.03.2014 / 22:26

4 respostas

15

Para impedir que um invasor inicialize a partir de um disco de reparo e use-o para obter acesso ao seu sistema, há várias etapas a serem seguidas. Em ordem de importância:

  • Use as configurações do BIOS / UEFI para impedir a inicialização de mídia removível ou solicite uma senha para inicializar a partir de mídia externa. O procedimento para isso varia de placa-mãe para placa-mãe.
  • Tranque sua torre. Geralmente, há uma maneira de redefinir as configurações do BIOS / UEFI (incluindo senhas) se um invasor obtiver acesso físico à placa-mãe, portanto, será necessário evitar isso. Até onde você vai depende de fatores como a importância dos dados que você está protegendo, o grau de dedicação dos invasores, o tipo de segurança física que leva à sua estação de trabalho (por exemplo, em um escritório que apenas colegas de trabalho podem acessar ou acessar). está em uma área isolada aberta ao público) e quanto tempo um atacante típico terá para quebrar sua segurança física sem ser visto.
  • Use algum tipo de criptografia de disco, como BitLocker ou TrueCrypt. Embora isso não impeça um atacante dedicado de reformatar seu sistema se conseguir acesso físico e redefinir sua senha da BIOS, quase ninguém terá acesso ao seu invasor (presumindo que você protege bem suas chaves e seu invasor não tem acesso para qualquer backdoors).
por 23.03.2014 / 22:54
7

A questão aqui é o acesso físico à máquina. Desative a capacidade de inicializar a partir do CD / USB e bloqueie o BIOS com uma senha. No entanto, isso não impedirá que alguém com tempo suficiente sozinho com a máquina o invada com vários métodos diferentes.

    
por 23.03.2014 / 22:55
4

O SETHC.exe também pode ser substituído por uma cópia do explorer.exe (ou qualquer outro arquivo .exe) que também forneça acesso total ao nível do sistema a partir da tela de logon. Não para repetir os outros, mas se você está falando sobre a segurança do servidor, eu acho que uma certa quantidade de segurança física já está em vigor. Quanto, depende do risco aceitável descrito pela sua organização.

Estou postando isso para talvez seguir um caminho diferente. Se você está preocupado que a comunidade de usuários em sua organização pode ou vai fazer isso para as estações de trabalho do Windows 7 (como você descreveu na pergunta), a única maneira de contornar esses tipos de ataques é "mover" o computador para o datacenter. Isso pode ser feito com qualquer número de tecnologias. Vou escolher produtos da Citrix para dar uma visão geral do processo, embora muitos outros fornecedores ofereçam ofertas semelhantes. Usando o XenApp, o XenDesktop, o Machine Creation Services ou o Provisioning Services, você pode "mover" a estação de trabalho para o datacenter. Neste ponto (desde que o seu datacenter esteja seguro), você tem segurança física sobre a estação de trabalho. Você pode usar thin clients ou estações de trabalho totalmente habilitadas para acessar a área de trabalho hospedada no datacenter. Em qualquer um desses cenários, você precisaria de algum hipervisor como o cavalo de batalha. A idéia é que o estado de segurança da máquina física em que o usuário está é de risco minúsculo, independentemente de estar comprometido ou não. Basicamente, as estações de trabalho físicas só têm acesso a um número muito limitado de recursos (AD, DHCP, DNS, etc.). Com esse cenário, todos os dados e todo o acesso são concedidos apenas aos recursos virtuais no controlador de domínio e, mesmo que a estação de trabalho ou o thin client sejam comprometidos, nenhum ganho pode ser obtido desse ponto de extremidade. Esse tipo de configuração é mais para grandes empresas ou ambientes de alta segurança. Apenas pensei que eu jogaria isso como uma possível resposta.

    
por 08.09.2014 / 19:38
3

Apenas desabilite a execução das teclas de atalho quando você pressionar Shift 5 vezes. Então, quando o CMD for renomeado para SETHC, ele não será exibido. Resolvido.

Win7:

  1. Iniciar > digite "alterar o funcionamento do seu teclado"
  2. Clique na primeira opção
  3. Clique em configurar as teclas adesivas
  4. Desmarque a opção de ativar as teclas fixas quando a tecla Shift for pressionada 5 vezes.

Você realmente não precisa ter um disco ou imagem do Windows em um USB para fazer o exploit funcionar. Eu estou tentando dizer que desabilitar o PC de partir de uma unidade diferente da unidade interna do sistema não impedirá que a exploração seja executada. Essa solução alternativa é feita reiniciando o computador quando ele está inicializando e usando um reparo de inicialização para obter acesso ao sistema de arquivos para renomear o CMD para SETHC. Claro, é difícil na unidade de disco, mas se você está invadindo a máquina de outra pessoa, você não liga.

    
por 26.06.2014 / 14:31

Tags

É possível incorporar diretamente uma imagem em um documento Markdown? O que poderia causar caracteres estranhos no Vim?