Existe uma exploração que permite aos usuários redefinir a senha do administrador no Windows. Isso é feito inicializando a partir de um disco de reparo, iniciando o prompt de comando e substituindo C:\Windows\System32\sethc.exe por C:\Windows\System32\cmd.exe.
Quando a combinação de teclas aderentes é pressionada na tela de logon, os usuários obtêm acesso a um prompt de comando com privilégios de administrador.
Esta é uma enorme falha de segurança, tornando o sistema operacional vulnerável a qualquer pessoa com o menor conhecimento de TI. Quase dá vontade de mudar para Mac ou Linux. Como isso pode ser evitado?
Responder1
Para evitar que um invasor inicialize a partir de um disco de reparo e use-o para obter acesso ao seu sistema, há várias etapas que você deve seguir. Por ordem de importância:
- Use as configurações do BIOS/UEFI para impedir a inicialização a partir de mídia removível ou exija uma senha para inicializar a partir de mídia externa. O procedimento para isso varia de placa-mãe para placa-mãe.
- Tranque sua torre. Geralmente há uma maneira de redefinir as configurações do BIOS/UEFI (incluindo senhas) se um invasor obtiver acesso físico à placa-mãe, portanto, você deve evitar isso. Até onde você vai depende de fatores como a importância dos dados que você está protegendo, quão dedicados são seus invasores, o tipo de segurança física que leva à sua estação de trabalho (por exemplo, é em um escritório que apenas colegas de trabalho podem acessar ou está em uma área isolada aberta ao público) e quanto tempo um invasor típico terá para quebrar sua segurança física sem ser visto.
- Use algum tipo de criptografia de disco, como BitLocker ou TrueCrypt. Embora isso não impeça um invasor dedicado de reformatar seu sistema se conseguir obter acesso físico e redefinir a senha do BIOS, impedirá que quase qualquer pessoa obtenha acesso ao seu sistema (supondo que você proteja bem suas chaves e que seu invasor não tenha acesso a quaisquer backdoors).
Responder2
A questão aqui é o acesso físico à máquina. Desative a capacidade de inicializar a partir de CD/USB e bloqueie o BIOS com uma senha. No entanto, isso não impedirá que alguém com tempo suficiente sozinho com a máquina a invada com vários métodos diferentes.
Responder3
SETHC.exe também pode ser substituído por uma cópia do explorer.exe (ou qualquer outro .exe), fornecendo acesso total no nível do sistema também a partir da tela de logon. Para não repetir outros, mas se você está falando sobre segurança de servidor, acho que já existe uma certa segurança física. Quanto depende do risco aceitável descrito pela sua organização.
Estou postando isso para talvez seguir um caminho diferente. Se você está preocupado com o fato de a comunidade de usuários da sua organização poder ou fazer isso nas estações de trabalho do Windows 7 (conforme descrito na pergunta), a única maneira de contornar esses tipos de ataques é "mover" a computação para o datacenter. Isto pode ser conseguido com qualquer número de tecnologias. Escolherei os produtos Citrix para dar uma breve visão geral do processo, embora muitos outros fornecedores ofereçam ofertas semelhantes. Usando XenApp, XenDesktop, Machine Creation Services ou Provisioning Services, você pode "mover" a estação de trabalho para o datacenter. Neste ponto (desde que seu datacenter esteja seguro), você tem segurança física na estação de trabalho. Você pode usar thin clients ou estações de trabalho totalmente capazes para acessar a área de trabalho hospedada no datacenter. Em qualquer um desses cenários, você precisaria de algum hipvervisor como burro de carga. A ideia é que o estado de segurança da máquina física em que o usuário está seja de risco minúsculo, independentemente de estar comprometida ou não. Basicamente, as estações de trabalho físicas só têm acesso a um número muito limitado de recursos (AD, DHCP, DNS, etc.). Com esse cenário, todos os dados e todos os acessos são concedidos apenas aos recursos virtuais no DC e, mesmo que a estação de trabalho ou o thin client estejam comprometidos, nenhum ganho poderá ser obtido desse ponto de extremidade. Este tipo de configuração é mais para grandes empresas ou ambientes de alta segurança. Apenas pensei em descartar isso como uma possível resposta.
Responder4
Basta desativar a execução do prompt das teclas aderentes ao pressionar shift 5 vezes. Então, quando o CMD for renomeado para SETHC, ele não aparecerá. Resolvido.
Win7:
- Iniciar> digite "alterar o funcionamento do teclado"
- Clique na primeira opção
- Clique em configurar teclas de aderência
- Desmarque a ativação das teclas aderentes quando Shift for pressionado 5 vezes.
Você realmente não precisa ter um disco ou imagem do Windows em um USB para fazer o exploit funcionar. Estou tentando dizer que desabilitar a inicialização do PC a partir de uma unidade diferente da unidade interna do sistema não impedirá que a exploração seja executada. Essa solução alternativa é feita reiniciando o computador durante a inicialização e usando um reparo de inicialização para obter acesso ao sistema de arquivos para renomear CMD para SETHC. Claro, é difícil para a unidade de disco, mas se você estiver invadindo a máquina de outra pessoa, não se importará.