Existe un exploit que permite a los usuarios restablecer la contraseña de administrador en Windows. Se realiza arrancando desde un disco de reparación, iniciando el símbolo del sistema y reemplazando C:\Windows\System32\sethc.exe con C:\Windows\System32\cmd.exe.
Cuando se presiona la combinación de teclas adhesivas en la pantalla de inicio de sesión, los usuarios obtienen acceso a un símbolo del sistema con privilegios de administrador.
Este es un enorme agujero de seguridad que hace que el sistema operativo sea vulnerable a cualquier persona con el más mínimo conocimiento de TI. Casi te dan ganas de cambiar a Mac o Linux. ¿Cómo puede ser prevenido?
Respuesta1
Para evitar que un atacante inicie desde un disco de reparación y lo utilice para obtener acceso a su sistema, hay varios pasos que debe seguir. En orden de importancia:
- Utilice la configuración de BIOS/UEFI para evitar el inicio desde medios extraíbles o solicite una contraseña para iniciar desde medios externos. El procedimiento para esto varía de una placa base a otra.
- Cierra tu torre. Por lo general, existe una manera de restablecer la configuración BIOS/UEFI (incluidas las contraseñas) si un atacante obtiene acceso físico a la placa base, por lo que querrás evitarlo. Hasta dónde llega depende de factores como la importancia de los datos que está protegiendo, cuán dedicados son sus atacantes, el tipo de seguridad física que conduce a su estación de trabajo (por ejemplo, si está en una oficina a la que solo pueden acceder los compañeros de trabajo o si está en un área aislada y abierta al público) y cuánto tiempo tendrá un atacante típico para violar su seguridad física sin ser visto.
- Utilice algún tipo de cifrado de disco como BitLocker o TrueCrypt. Si bien esto no impedirá que un atacante dedicado reformatee su sistema si puede obtener acceso físico y restablecer su contraseña de BIOS, impedirá que casi cualquier persona obtenga acceso a su sistema (asumiendo que usted protege bien sus claves y su atacante no tiene acceso a cualquier puerta trasera).
Respuesta2
El problema aquí es el acceso físico a la máquina. Deshabilite la capacidad de iniciar desde CD/USB y bloquee el BIOS con una contraseña. Sin embargo, esto no impedirá que alguien que pase suficiente tiempo a solas con la máquina pueda acceder a ella con numerosos métodos diferentes.
Respuesta3
SETHC.exe también se puede reemplazar con una copia de explorer.exe (o cualquier otro .exe) que también brinde acceso completo a nivel del sistema desde la pantalla de inicio de sesión. No quiero repetir otros, pero si estás hablando de seguridad del servidor, creo que ya existe una cierta cantidad de seguridad física. La cantidad depende del riesgo aceptable descrito por su organización.
Estoy publicando esto para quizás tomar una ruta diferente. Si le preocupa que la comunidad de usuarios de su organización pueda o quiera hacer esto en las estaciones de trabajo con Windows 7 (como describió en la pregunta), la única forma de evitar este tipo de ataques es "mover" el proceso al centro de datos. Esto se puede lograr con cualquier cantidad de tecnologías. Elegiré los productos de Citrix para resumir brevemente el proceso, aunque muchos otros proveedores ofrecen ofertas similares. Utilizando XenApp, XenDesktop, Machine Creation Services o Provisioning Services, puede "mover" la estación de trabajo al centro de datos. En este punto (siempre que su centro de datos esté seguro), tiene seguridad física en la estación de trabajo. Puede utilizar clientes ligeros o estaciones de trabajo totalmente capaces para acceder al escritorio alojado desde el centro de datos. En cualquiera de estos escenarios, necesitaría algún hipvervisor como caballo de batalla. La idea es que el estado de seguridad de la máquina física en la que se encuentra el usuario tenga un riesgo minúsculo, independientemente de si está comprometida o no. Básicamente, las estaciones de trabajo físicas sólo tienen acceso a un número muy limitado de recursos (AD, DHCP, DNS, etc.). Con este escenario, todos los datos y todo el acceso se otorgan únicamente a los recursos virtuales en el DC, e incluso si la estación de trabajo o el cliente ligero se ven comprometidos, no se puede obtener ninguna ganancia desde ese punto final. Este tipo de configuración es más para grandes empresas o entornos de alta seguridad. Solo pensé en descartar esto como una posible respuesta.
Respuesta4
Simplemente deshabilite la ejecución del mensaje de teclas adhesivas cuando presione Mayús 5 veces. Luego, cuando se cambie el nombre de CMD a SETHC, no aparecerá. Resuelto.
Win7:
- Inicio > escribe "cambiar el funcionamiento de tu teclado"
- Haga clic en la primera opción
- Haga clic en configurar teclas adhesivas
- Desmarque activar teclas adhesivas cuando se presiona Mayús 5 veces.
Realmente tampoco es necesario tener un disco de Windows o una imagen en un USB para que el exploit funcione. Estoy tratando de decir que deshabilitar la PC para que no se inicie desde una unidad diferente a la unidad interna del sistema no evitará que se realice el exploit. Esta solución alternativa se realiza reiniciando la computadora cuando se está iniciando y usando una reparación de inicio para obtener acceso al sistema de archivos y cambiar el nombre de CMD a SETHC. Claro, es difícil para la unidad de disco, pero si estás accediendo a la máquina de otra persona, realmente no te importa.