sethc.exe 해킹을 방지하는 방법은 무엇입니까?

tag-icon tag-icon windows-7 windows security system-repair-disc
sethc.exe 해킹을 방지하는 방법은 무엇입니까?

사용자가 Windows에서 관리자 비밀번호를 재설정할 수 있는 취약점이 있습니다. 복구 디스크에서 부팅하고 명령 프롬프트를 시작한 다음 C:\Windows\System32\sethc.exe를 C:\Windows\System32\cmd.exe로 바꾸면 됩니다.

로그온 화면에서 고정 키 조합을 누르면 사용자는 관리자 권한으로 명령 프롬프트에 액세스할 수 있습니다.

이는 엄청난 보안 허점으로, IT 지식이 조금이라도 있는 사람이라면 누구나 OS를 취약하게 만듭니다. Mac이나 Linux로 전환하고 싶을 정도입니다. 어떻게 예방할 수 있나요?

답변1

공격자가 복구 디스크로 부팅하여 이를 사용하여 시스템에 액세스하는 것을 방지하려면 취해야 할 몇 가지 단계가 있습니다. 중요한 순서대로:

  • BIOS/UEFI 설정을 사용하여 이동식 미디어에서 부팅하는 것을 방지하거나 외부 미디어에서 부팅할 때 비밀번호를 요구합니다. 이에 대한 절차는 마더보드마다 다릅니다.
  • 타워를 잠그세요. 일반적으로 공격자가 마더보드에 물리적으로 접근할 수 있는 경우 BIOS/UEFI 설정(암호 포함)을 재설정할 수 있는 방법이 있으므로 이를 방지하는 것이 좋습니다. 얼마나 멀리 갈 수 있는지는 보호하는 데이터의 중요성, 공격자의 헌신도, 워크스테이션에 대한 물리적 보안의 종류(예: 동료만 액세스할 수 있는 사무실인지 또는 사무실에 있는지)와 같은 요소에 따라 달라집니다. 대중에게 공개된 격리된 공간에 있는지), 일반적인 공격자가 들키지 않고 물리적 보안을 깨뜨리는 데 얼마나 많은 시간이 필요한지 등을 알 수 있습니다.
  • BitLocker 또는 TrueCrypt와 같은 일종의 디스크 암호화를 사용합니다. 전담 공격자가 물리적 접근 권한을 얻고 BIOS 비밀번호를 재설정할 수 있는 경우 전담 공격자가 시스템을 다시 포맷하는 것을 막지는 못하지만, 거의 모든 사람이 시스템에 액세스하는 것을 막을 수는 있습니다(키를 잘 보호하고 공격자가 암호를 갖고 있지 않다고 가정). 모든 백도어에 대한 액세스).

답변2

여기서 문제는 머신에 대한 물리적 액세스입니다. CD/USB에서 부팅하는 기능을 비활성화하고 비밀번호로 BIOS를 잠급니다. 그러나 이것은 기계와 함께 충분한 시간을 가진 사람이 다양한 방법으로 기계에 침입하는 것을 막지는 못합니다.

답변3

SETHC.exe는 로그온 화면에서 전체 시스템 수준 액세스를 제공하는 explorer.exe(또는 다른 .exe)의 복사본으로 대체될 수도 있습니다. 반복하지는 않지만, 서버 보안을 이야기한다면 이미 어느 정도의 물리적인 보안은 갖춰져 있다고 생각합니다. 얼마만큼은 조직에서 명시한 허용 가능한 위험에 따라 다릅니다.

혹시 다른 길을 가고자 이 글을 올립니다. 조직의 사용자 커뮤니티가 Windows 7 워크스테이션에 대해 이 작업을 수행할 수 있거나 수행할 것이라고 우려되는 경우(질문에서 설명한 대로) 이러한 유형의 공격을 우회하는 유일한 방법은 컴퓨팅을 데이터 센터로 "이동"하는 것입니다. 이는 다양한 기술을 사용하여 달성할 수 있습니다. 다른 많은 공급업체에서도 유사한 제품을 제공하지만 프로세스를 간략하게 살펴보기 위해 Citrix 제품을 선택하겠습니다. XenApp, XenDesktop, Machine Creation Services 또는 Provisioning Services를 사용하여 워크스테이션을 데이터 센터로 "이동"할 수 있습니다. 이 시점에서는(데이터 센터가 안전한 한) 워크스테이션에 대한 물리적 보안이 유지됩니다. 씬 클라이언트나 모든 기능을 갖춘 워크스테이션을 사용하여 데이터 센터에서 호스팅되는 데스크탑에 액세스할 수 있습니다. 이러한 시나리오에서는 작업 도구로 하이퍼바이저가 필요합니다. 사용자가 사용 중인 물리적 시스템의 보안 상태는 손상 여부에 관계없이 위험이 매우 적다는 개념입니다. 기본적으로 물리적 워크스테이션은 매우 제한된 수의 리소스(AD, DHCP, DNS 등)에만 액세스할 수 있습니다. 이 시나리오에서는 모든 데이터와 모든 액세스가 DC의 가상 리소스에만 부여되며 워크스테이션이나 씬 클라이언트가 손상되더라도 해당 엔드포인트에서는 아무런 이득도 얻을 수 없습니다. 이러한 유형의 설정은 대기업이나 높은 보안 환경에 더 적합합니다. 나는 이것을 가능한 대답으로 버릴 것이라고 생각했습니다.

답변4

Shift를 5번 누를 때 고정 키 프롬프트가 실행되지 않도록 비활성화하면 됩니다. 그런 다음 CMD의 이름을 SETHC로 바꾸면 팝업되지 않습니다. 해결되었습니다.

윈7:

  1. 시작 > "키보드 작동 방식 변경"을 입력하세요.
  2. 첫 번째 옵션을 클릭하세요.
  3. 고정 키 설정을 클릭하세요.
  4. Shift 키를 5번 누르면 고정 키 켜기를 선택 취소합니다.

익스플로잇이 작동하려면 Windows 디스크나 USB 이미지가 필요하지 않습니다. 내부 시스템 드라이브가 아닌 다른 드라이브에서 PC를 시작하는 것을 비활성화해도 익스플로잇이 수행되는 것을 막을 수는 없다고 말하고 싶습니다. 이 해결 방법은 컴퓨터가 시작될 때 컴퓨터를 재설정하고 시작 복구를 사용하여 파일 시스템에 액세스하여 CMD의 이름을 SETHC로 바꾸는 방식으로 수행됩니다. 물론, 디스크 드라이브에는 힘들지만, 다른 사람의 컴퓨터에 침입하는 경우에는 별 상관이 없습니다.

관련 정보