Quel est le danger d'insérer et de parcourir un lecteur USB non approuvé?

132

Supposons que quelqu'un veuille que je copie des fichiers sur leur clé USB. J'utilise Windows 7 x64 entièrement patché avec l'exécution automatique désactivée (via la stratégie de groupe). J'insère le lecteur USB, l'ouvre dans l'explorateur Windows et y copie des fichiers. Je n'exécute ni ne visualise aucun des fichiers existants. Quelles mauvaises choses pourraient arriver si je fais cela?

Et si je fais cela sous Linux (par exemple, Ubuntu)?

Veuillez noter que je recherche des détails sur les risques spécifiques (le cas échéant), et non "ce serait plus sûr si vous ne le faites pas".

windows-7 linux security usb-flash-drive autorun EM0
la source
6
Regarder une liste de répertoire est peu susceptible de constituer un risque. L'ouverture d'un fichier PDF malveillant dans une ancienne version non corrigée du lecteur Adobe pourrait représenter un risque important. Dans certains cas, même un aperçu de l'image ou une icône de fichier peut contenir un exploit.
david25272
12
@ david25272, même en regardant une liste de répertoires pourrait être un risque .
mardi
5
C'est un peu comme entrer dans un ascenseur avec un étranger, la plupart du temps, ça va, mais si l'étranger est alias Hannibal Lecter ...
PatrickT
59
Vous pouvez casser votre centrifugeuse uranium en.wikipedia.org/wiki/Stuxnet
Ryans
1
@ tangrs, c'est un excellent exemple du genre de chose que je cherchais. Pourquoi ne pas poster comme une réponse?
EM0

Réponses:

45

Moins impressionnant, votre navigateur de fichiers GUI explorera généralement les fichiers pour créer des vignettes. Tout exploit basé sur pdf, basé sur ttf, (type de fichier capable d'insérer turing ici) qui fonctionne sur votre système pourrait éventuellement être lancé de manière passive en supprimant le fichier et en attendant qu'il soit analysé par le moteur de rendu des miniatures. La plupart des exploits que je connaisse concernent Windows, mais ne sous-estimez pas les mises à jour de libjpeg.

Sylvainulg
la source
1
C'est une possibilité, donc +1. Est-ce que Windows Explorer (ou Nautilus) fait cela même si vous ne visualisez jamais de vignettes?
EM0
1
@EM Pourrait arriver - les versions récentes de l'explorateur pourraient, par exemple, construire des vignettes dans des sous-dossiers pour de jolies icônes de dossiers à la racine, même si ces sous-dossiers sont configurés pour ne jamais afficher de vignettes.
Tynam
Ou peut-être pas essayer d'afficher des vignettes, mais plutôt une sorte de métadonnées
That Brazilian Guy
1
Ceci n'est pas spécifique à un système de fichiers monté sur USB. Si un navigateur de fichiers présente une vulnérabilité, elle peut être provoquée par des fichiers téléchargés sur votre ordinateur par d’autres moyens, tels que des pièces jointes à des courriels ou des téléchargements via un navigateur.
HRJ
186

Le pire qui puisse arriver n'est limité que par l'imagination de votre attaquant. Si vous allez devenir paranoïaque, connecter physiquement n'importe quel périphérique à votre système peut le compromettre. Et bien si cet appareil ressemble à une simple clé USB.

Et si c'est ça? entrez la description de l'image ici

La photo ci-dessus montre le fameux canard en caoutchouc USB , un petit appareil qui ressemble à une clé USB, mais qui peut donner des frappes arbitraires à votre ordinateur. En gros, il peut faire ce qu’il veut, car il s’enregistre comme un clavier, puis entre la séquence de touches de son choix. Avec ce type d'accès, il peut faire toutes sortes de choses désagréables (et ce n'est que le premier coup que j'ai trouvé sur Google). La chose est scriptable alors le ciel est la limite.

terdon
la source
11
Nice one, +1! Dans le scénario que j'avais en tête, la clé USB est connue pour être un périphérique de stockage réel et je fais confiance à la personne qui me le donne pour ne pas infecter mon ordinateur de manière malveillante . (Je crains surtout qu'ils ne soient eux-mêmes victimes d'un virus.) Mais c'est une attaque intéressante à laquelle je n'avais pas pensé. Je suppose qu'avec un émulateur de clavier comme celui-ci, je remarquerais probablement quelque chose de bizarre, mais il y aurait peut-être des moyens plus furtifs ...
EM0
3
J'approuve cette réponse. Fait penser à l'OP :)
steve
31
+1 "Le pire qui puisse arriver n'est limité que par l'imagination de votre attaquant."
Newb
9
Hak5 - semble légitime!
david25272
5
Apparemment, le protocole de connexion USB est assez similaire à l'ancien protocole de port PS / 2, c'est pourquoi l'USB est couramment utilisé pour les souris et les claviers. (Je peux me tromper bien sûr - je détiens cela dans ma propre mémoire, qui contient principalement une compression avec pertes)
Pharap
38

Un autre danger est que Linux essaiera de tout monter (blague supprimée ici) .

Certains pilotes de système de fichiers ne sont pas exempts de bogues. Ce qui signifie qu'un pirate informatique pourrait potentiellement trouver un bogue dans, par exemple, squashfs, minix, befs, cramfs ou udf. Ensuite, ce pirate informatique pourrait créer un système de fichiers qui exploite ce bogue pour prendre en charge un noyau Linux et le placer sur un lecteur USB.

Cela pourrait théoriquement arriver à Windows également. Un bogue dans les pilotes FAT, NTFS, CDFS ou UDF peut ouvrir Windows à une prise de contrôle.

Zan Lynx
la source
+1 Ce serait un exploit soigné et tout à fait possible
Steve
17
Il y a tout un niveau plus bas. Non seulement les systèmes de fichiers ont des bogues, mais toute la pile USB en contient , et beaucoup d’entre eux fonctionnent dans le noyau.
Faux nom
4
Et même le micrologiciel de votre contrôleur USB peut avoir des faiblesses pouvant être exploitées. Il y a eu un exploit qui consiste à écraser Windows avec une clé USB simplement au niveau de l'énumération de périphérique .
Sylvainulg le
7
Quant à "linux essayant de monter quoi que ce soit", ce n'est pas le comportement par défaut du système, mais il est lié à l'explorateur de fichiers qui tente de monter de manière proactive. Je suis sûr que les pages de manuel de spéléologie pourraient vous expliquer comment désactiver cela et revenir à "monter uniquement à la demande".
Sylvainulg
5
Linux et Windows essaient tous deux de tout monter. La seule différence est que Linux pourrait effectivement réussir. Ce n'est pas une faiblesse du système mais une force.
Terdon
28

Il existe plusieurs packages de sécurité qui me permettent de configurer un script autorun pour Linux OU Windows, exécutant automatiquement mon programme malveillant dès que vous le connectez. Il est préférable de ne pas brancher de périphériques auxquels vous ne faites pas confiance!

N'oubliez pas que je peux associer des logiciels malveillants à pratiquement tous les types de fichiers exécutables que je souhaite et à pratiquement tous les systèmes d'exploitation. Si autorun est désactivé, vous DEVEZ être en sécurité, mais ENCORE, je ne fais pas confiance aux appareils pour lesquels je suis le moins du monde sceptique.

Pour obtenir un exemple de ce que vous pouvez faire, consultez The Social-Engineer Toolkit (SET) .

Le SEUL moyen d'être vraiment en sécurité est de démarrer une distribution Linux en direct, avec votre disque dur débranché. Montez le lecteur USB et jetez un coup d'œil. En dehors de cela, vous lancez les dés.

Comme suggéré ci-dessous, il est indispensable de désactiver le réseau. Cela n'aide pas si votre disque dur est en sécurité et si tout votre réseau est compromis. :)

steve
la source
3
Même si AutoRun est désactivé, il existe encore des exploits exploitant certaines vérités. Bien sûr, il existe de meilleurs moyens d’infecter une machine Windows. Il est préférable d’analyser des lecteurs flash inconnus sur du matériel dédié à cette tâche, qui est effacée tous les jours et restaurée selon une configuration connue en cas de redémarrage.
Ramhound
2
Pour votre dernière suggestion, vous souhaiterez peut-être également inclure la déconnexion du réseau. Si l'instance de Live CD est infectée, les autres ordinateurs du réseau risquent d'être infectés de manière plus persistante.
Scott Chamberlain
6
Ramhound, j'aimerais voir des exemples des exploits que vous avez mentionnés (probablement corrigés à ce jour!) Pourriez-vous en publier une réponse?
EM0
5
@EM, il y a quelque temps, un exploit de type "jour zéro" exploitait une vulnérabilité de l'affichage de l'icône dans un fichier de raccourci (fichier .lnk). Ouvrir simplement le dossier contenant le fichier de raccourci suffit à déclencher le code d'exploitation. Un pirate informatique aurait facilement pu placer un tel fichier à la racine du lecteur USB. Ainsi, lorsque vous l'ouvrez, le code d'exploitation est exécuté.
mardi
4
> Le SEUL moyen d'être vraiment en sécurité est de démarrer une distribution Linux en direct, avec votre disque dur débranché… - Nope, un logiciel non fiable peut également infecter les microprogrammes. Ils sont très mal protégés de nos jours.
Sarge Borsch
23

La clé USB est peut-être un condensateur très chargé ... Je ne sais pas si les cartes mères modernes sont protégées contre de telles surprises, mais je ne le vérifierais pas sur mon ordinateur portable. (il pourrait en théorie brûler tous les appareils)

Mise à jour:

voir cette réponse: https://security.stackexchange.com/a/102915/28765

et vidéo de celui-ci: YouTube: test USB Killer v2.0.

Sarge Borsch
la source
3
Oui ils le font. Presque tous ont de petits fusibles réinitialisables. J'ai trouvé ce electronics.stackexchange.com/questions/66507/… plutôt intéressant.
Zan Lynx
Cette vidéo fait mal à mon âme.
k.stm
6

Certains logiciels malveillants / virus sont activés lorsque nous ouvrons un dossier. Le pirate informatique peut utiliser la fonction Windows (ou Linux avec Wine ) qui commence à créer une icône / une vignette de certains fichiers (par exemple, des fichiers .exe, .msi ou .pif, ou même des dossiers avec dossier. Le pirate informatique trouve un bogue dans les programmes (comme le programme qui crée une vignette) afin de permettre au programme malveillant de fonctionner.

Certains périphériques défectueux peuvent tuer votre matériel , en particulier la carte mère, et la plupart du temps en silence, de sorte que vous ne le saurez peut-être pas.

totti
la source
5

Apparemment, un simple périphérique USB peut même faire frire toute la carte mère:

Un chercheur en sécurité russe connu sous le nom de "Dark Purple" a créé une clé USB contenant une charge utile inhabituelle.

Il n’installe pas de logiciels malveillants et n’exploite pas une vulnérabilité zéro jour. Au lieu de cela, la clé USB personnalisée envoie 220 volts (techniquement moins 220 volts) via les lignes de signal de l'interface USB, frittant ainsi le matériel.

https://grahamcluley.com/2015/10/usb-killer/

EM0
la source
3

La pire chose qui puisse arriver est la fameuse infection à BadBios . Cela infecte supposément votre contrôleur hôte USB en le branchant sur votre ordinateur, quel que soit votre système d'exploitation. Il existe un nombre limité de fabricants de puces USB et il n’est donc pas exagéré de les exploiter toutes.

Bien sûr , pas tout le monde croit BadBios est réel, mais il est la pire chose qui pourrait arriver à votre ordinateur en branchant une clé USB.

pseudo
la source
2

C’est à peu près ainsi que l’ensemble du réseau classifié du département américain de la Défense a été compromis. Une clé USB a été laissée par terre dans un parking en dehors du site du DOD. Un génie l'a ramassé et l'a branché à l'intérieur, l'espionnage moderne est tellement ennuyeux. Je veux dire une clé USB dans un parking, rapportez 007!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain

screig
la source