web-dev-qa-db-fra.com

Comment prévenir le bidouillage sethc.exe?

Il existe un exploit qui permet aux utilisateurs de réinitialiser le mot de passe de l'administrateur sous Windows. Pour ce faire, démarrez à partir d'un disque de réparation, démarrez la commande Invite et remplacez C:\Windows\System32\sethc.exe par C:\Windows\System32\cmd.exe.

Lorsque l'utilisateur clique sur la combinaison de touches réactive à l'écran de connexion, les utilisateurs ont accès à une invite de commande avec des privilèges d'administrateur.

C'est une énorme faille de sécurité qui rend le système d'exploitation vulnérable à quiconque possède la moindre connaissance informatique. Cela donne presque envie de passer à Mac ou Linux. Comment peut-il être évité?

windows-7windowssecuritysystem-repair-disc
16
Jesus Pedro

Afin d'empêcher un attaquant de démarrer à partir d'un disque de réparation et de l'utiliser pour accéder à votre système, vous devez suivre plusieurs étapes. Par ordre d'importance:

  • Utilisez vos paramètres BIOS/UEFI pour empêcher le démarrage à partir d'un support amovible ou demandez un mot de passe pour démarrer à partir d'un support externe. La procédure à suivre varie d’une carte à l’autre.
  • Enferme ta tour. Il existe généralement un moyen de réinitialiser les paramètres BIOS/UEFI (y compris les mots de passe) si un attaquant obtient un accès physique à la carte mère. Par conséquent, vous souhaiterez éviter cela. La distance que vous parcourez dépend de facteurs tels que l’importance des données que vous protégez, le dévouement de vos attaquants, le type de sécurité physique qui mène à votre poste de travail (par exemple, c’est dans un bureau que seuls des collègues peuvent accéder ou se connecter. est-il situé dans une zone isolée ouverte au public) et combien de temps un attaquant typique aura-t-il pour porter atteinte à votre sécurité physique sans être vu?.
  • Utilisez une sorte de chiffrement de disque tel que BitLocker ou TrueCrypt. Cela n'empêchera pas un attaquant dédié de reformater votre système s'il peut obtenir un accès physique et réinitialiser votre mot de passe BIOS, mais empêchera quasiment tout le monde d'accéder à votre système (en supposant que vous gardiez bien vos clés et que votre attaquant ne possède pas accès à toutes les portes dérobées).
15
eToThePiIPower

Le problème ici est l'accès physique à la machine. Désactivez la possibilité de démarrer à partir d'un CD/USB et verrouillez le BIOS avec un mot de passe. Cependant, cela n'empêchera pas une personne disposant de suffisamment de temps seul avec la machine de la percer par de nombreuses méthodes différentes.

7
Michael Frank

SETHC.exe peut également être remplacé par une copie de Explorer.exe (ou de tout autre fichier .exe) donnant également un accès complet au système depuis l'écran de connexion. Sans vouloir en répéter d'autres, mais si vous parlez de sécurité des serveurs, je penserais qu'une certaine sécurité physique est déjà en place. Cela dépend du risque acceptable défini par votre organisation.

Je poste ceci pour peut-être prendre un itinéraire différent. Si vous craignez que la communauté des utilisateurs de votre organisation ne puisse ou ne le fasse pour les postes de travail Windows 7 (comme vous l'avez décrit dans la question), le seul moyen de contourner ces types d'attaques est de "déplacer" le calcul dans le centre de données. Ceci peut être accompli avec n'importe quel nombre de technologies. Je vais choisir les produits Citrix pour un bref aperçu du processus, bien que de nombreux autres fournisseurs proposent des offres similaires. En utilisant XenApp, XenDesktop, les services de création de machines ou les services de provisioning, vous pouvez "déplacer" le poste de travail dans le centre de données. À ce stade (tant que votre centre de données est sécurisé), vous disposez d'une sécurité physique sur le poste de travail. Vous pouvez utiliser des clients légers ou des postes de travail entièrement capables pour accéder au bureau hébergé à partir du centre de données. Dans n'importe lequel de ces scénarios, vous auriez besoin d'un hypverviseur comme cheval de bataille. L'idée est que l'état de sécurité de la machine physique sur laquelle l'utilisateur se trouve présente un risque minime, qu'il soit compromis ou non. Fondamentalement, les postes de travail physiques n’ont accès qu’à un nombre très limité de ressources (AD, DHCP, DNS, etc.). Avec ce scénario, toutes les données et tous les accès sont uniquement accordés aux ressources virtuelles du contrôleur de domaine. Même si le poste de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration est davantage destiné aux grandes entreprises ou aux environnements hautement sécurisés. Je pensais juste que je lancerais ceci comme une réponse possible.

4
MiTePython

Désactivez simplement les touches rémanentes Invite à courir lorsque vous appuyez 5 fois sur la touche Maj. Ensuite, lorsque CMD est renommé SETHC, il ne s'affiche pas. Résolu.

Win7:

  1. Démarrer> tapez "changez le fonctionnement de votre clavier"
  2. Cliquez sur la première option
  3. Cliquez sur configurer les touches autocollantes
  4. Désactivez les touches rémanentes lorsque vous appuyez sur la touche Maj 5 fois.

Vous n'avez vraiment pas besoin d'avoir un disque Windows ou une image sur une clé USB pour que l'exploit fonctionne. J'essaie de dire que désactiver le démarrage du PC à partir d'un lecteur différent de celui du système interne n'empêchera pas l'exploit d'être exécuté. Cette solution de contournement est effectuée en réinitialisant l'ordinateur au démarrage et en utilisant une réparation de démarrage pour accéder au système de fichiers afin de renommer CMD en SETHC. Bien sûr, c'est dur sur le lecteur de disque, mais si vous pénétrez dans la machine de quelqu'un d'autre, cela vous est égal.

3
user322263