web-dev-qa-db-fra.com

Y a-t-il un exploit USB pour contourner la connexion Windows Mot de passe?

Je travaille pour une petite entreprise de petite taille faisant la plupart des tâches informatiques, y compris l'administration des systèmes, l'administration de réseau et même le développement de logiciels internes. Récemment, mon patron (le PDG) m'a dit que de l'argent avait été volé de la société (électroniquement, comme un virement bancaire ou quelque chose) et il y avait une forte indication qu'elle a été faite par l'un de nos employés.

La société a engagé une tierce partie pour enquêter et une chose à laquelle ils ont fait ont été examinés par un certain nombre de postes de travail, y compris le PDG. Une chose qui a attiré mon attention m'a été dit que "l'enquêteur" voulait regarder à travers son ordinateur, qui a été verrouillé ou non connecté du tout. Il a proposé de taper son mot de passe afin que le gars puisse faire ce dont il avait besoin, mais il a refusé, puis branché dans un bâton USB et soudain été connecté au compte.

J'ai essayé de chercher en ligne pour des informations sur une utilisation USB Exploit, mais je suis surtout rencontré des informations sur la vulnérabilité Badusb, qui ne semble pas vraiment que cela s'applique ici.

Quelqu'un peut-il connaître des exploits USB comme celui-ci?

L'ordinateur exécute Windows 10 64 bits.

2
Gogeta70

Il existe une catégorie de bâtons de clé USB programmables qui fonctionnent sur l'atmosphère ou des microprocesseurs similaires qui agissent comme HID . Bientôt, un hide est plug-n-jeu. Pas de vérification de sécurité, aucune question posée! Il aurait probablement été programmé de manière à exécuter de telles commandes système, cela lui donnerait accès à un compte. Ce n'est pas si dur. Windows charge tous les mots de passe en mémoire. Et puisque la course de HID à un service privilégié élevé, il n'est pas difficile de donner à votre code les droits de ces tâches.

Vérifiez ceci: Ducky en caoutchouc , HIDIOT et même Arduino . Étant donné que leurs microcontrôles sont capables et qu'il existe des bibliothèques, pourquoi le code des développeurs devrait-il être limité à une utilisation légitime? ;)

EDIT: Comme il a été demandé, j'ai trouvé quelques exemples de code qui fonctionnent avec des appareils comme celui-ci:

https://github.com/hak5darren/usb-rubber-ducky/wiki/attacking-windows-hat-logon-screen ,---gain-access-a-cmd-with-system-privilsges .

Donc, oui, HID appareils comme ceux-ci peuvent réellement exécuter du code.

J'ai également trouvé un autre type d'attaque USB: https://room362.com/post/2016/snagging-Creds-de-de-Drom-locked-Machines/

2
Chris Tsiakoulas

Jeter des idées alternatives:

Une attaque de type tortue LAN qui obtient les hachages via un périphérique réseau, les craque in situ, passe sur HID et entre le mot de passe. Ceci est extrêmement extrait car la fissuration prendrait un temps considérable sur un dispositif intégré (sauf s'il s'agit du "mot de passe").

Une USB amorçable qui automatise un redémarrage à l'aide de HID et de fonctionnement de Konboot, puis redémarrez à nouveau dans Windows pour la connexion. Ceci est un peu extrêmement récupéré car vous devriez connaître l'ordre de démarrage à l'avance (bien que s'il y a eu plusieurs ordinateurs testés avant cela, ils étaient peut-être tous dans le même état et que l'appareil était préconfiguré). Cela prendrait également une minute ou deux et ne courait pas comme décrit comme décrit.

A DMA Attack à l'aide de quelque chose comme FireWire au lieu de USB, ceci vraiment peut effectuer des attaques comme celle mentionnée, mais supposément été corrigée sur des écrans de verrouillage de Windows 10 (le = DMA Les périphériques de pilotes ne se chargeent pas sur un périphérique verrouillé).

Je pense que cela peut-être que quelque chose a été manqué ou que les informations d'occasion étaient un peu d'embellissement.

2
user2867314