J'ai récemment acheté une souris Logitech MX Master 2S. Je n'avais aucune intention d'installer le "logiciel d'options" fourni avec la souris. Je voulais simplement une souris sans fil qui n'était pas bon marché et fragile.
Cependant, après avoir branché immédiatement le dongle USB sans fil, une sorte de logiciel personnalisé a pu s'exécuter sans mon consentement, affichant la fenêtre suivante au-dessus de toutes les autres fenêtres:
Aucun volume USB n'est répertorié dans l'Explorateur de fichiers et, à ma connaissance, l'exécution automatique à partir d'USB est désactivée. J'ai également été incapable de trouver un processus évident répertorié dans le Gestionnaire des tâches.
Comment ce processus a-t-il commencé? De plus, cela semble être un vecteur d'attaque idéal pour les machines Windows. Quelqu'un peut-il nous expliquer comment le dongle USB (sans volume) peut le faire?
Mise à jour: Il ne semble pas y avoir de disque logique intégré dans le dongle, car exécutant wmic logicaldisk get name
et diskpart> list volume
n'a révélé aucun lecteur ou partition supplémentaire.
Comment ce processus a-t-il commencé? De plus, cela semble être un vecteur d'attaque idéal pour les machines Windows. Quelqu'un peut-il nous expliquer comment le dongle USB (sans volume) peut le faire?
L'USB est déjà un vecteur d'attaque bien connu qui est parfois discuté (BadUSB par exemple). Tout l'alarmisme autour de BadUSB est-il vraiment nécessaire en ce qui concerne les appareils hôtes?
Même si une clé USB n'est pas supposée , elle peut également prétendre être un clavier HID et émettre des commandes comme vous. Dans le cas d'un dongle clavier/souris, cela ne semble même pas suspect; c'est déjà un clavier. Pense start+r -> "\\?\volume{something-logitech-hardcoded}\autorun.exe"
Une autre astuce moins néfaste que j'ai vue consiste à exposer un lecteur de CD virtuel avec un autorun, où ils sont généralement légèrement plus fiables. Même dans Windows 10, une certaine forme de lecture automatique s'exécute par défaut.
Malheureusement, je n'ai pas accès à un tel appareil, je ne peux donc offrir aucun aperçu spécifique sur l'exploit impliqué. Une expérience pourrait être de le brancher sur un ordinateur et d'essayer d'observer quelque chose d'étrange apparaissant brièvement à l'écran, guidé par la perspicacité ci-dessus. Sinon, l'utilisation de l'Explorateur d'appareils en mode de connexion pourrait aider à révéler des fonctionnalités cachées (mais pas particulièrement cachées, l'appareil pourrait les supprimer après une attaque). Il peut être utile de déterminer le contenu du stockage interne secret. Par exemple, a-t-il des fichiers à exécution automatique?
Nic Hartley a mentionné les pilotes. Windows 10 installe automatiquement les pilotes pour les périphériques inconnus dès qu'ils sont connectés. Si Windows n'a pas le pilote pour le périphérique, il télécharge silencieusement les pilotes en ligne. Si Windows dispose des pilotes, il recherche toujours en ligne une version mise à jour.
Donc, ma théorie est: que Windows télécharge et installe les pilotes nécessaires à partir de Logitech. Le pilote Logitech affiche alors la fenêtre contextuelle pour installer le logiciel.
Vous pouvez tester cette théorie en branchant le dongle sur un PC Windows 10 qui n'est pas connecté à Internet et sur lequel les pilotes Logitech ne sont pas installés.
Si la fenêtre contextuelle s'affiche toujours, essayez de désactiver les pilotes Logitech dans le Gestionnaire de périphériques.
Essayez également d'utiliser un outil comme Sysinternals Process Explorer pour rechercher le processus qui a créé la fenêtre. Plus d'informations.
Le pilote Logitech est installé par Windows 10 lorsque la souris est connectée. Dans ce pilote déclenche ensuite le téléchargement du logiciel d'options logitech directement depuis Logitech. Il en va de même avec les imprimantes HP lorsqu'elles sont connectées localement.
Cela est principalement fait pour éviter les problèmes avec les anciens pilotes de Windows Update, en particulier en combinaison avec le modèle de version continue.
Lorsque Windows 10 obtient une mise à niveau d'une version principale vers une autre, une nouvelle installation complète est effectuée et tous les appareils sont téléchargés et réinstallés après la mise à jour.