Comment empêcher le hack sethc.exe?

19

Il existe un exploit qui permet aux utilisateurs de réinitialiser le mot de passe administrateur sous Windows. Cela se fait en démarrant à partir d'un disque de réparation, en démarrant l'invite de commande et en remplaçant C: \ Windows \ System32 \ sethc.exe par C: \ Windows \ System32 \ cmd.exe.

Lorsque la combinaison de touches persistantes est enfoncée dans l'écran de connexion, les utilisateurs ont accès à une invite de commande avec des privilèges d'administrateur.

Il s'agit d'un énorme trou de sécurité, ce qui rend le système d'exploitation vulnérable à toute personne ayant la moindre connaissance informatique. Cela donne presque envie de passer à Mac ou Linux. Comment peut-il être évité?

Jesus Pedro
la source
3
Je ne comprends vraiment pas quel est le problème. Ce n'est pas comme s'il n'y avait pas d'utilitaires qui peuvent réinitialiser les mots de passe administrateur (comme ceux sur Hiren's BCD ou Win7Live). Si l'attaquant peut modifier le fichier sethc, il peut utiliser un utilitaire de réinitialisation ...
EliadTech
27
Si quelqu'un a un accès physique à votre ordinateur, vous pouvez dire adieu à la sécurité.
Bert
2
Cela donne presque envie de passer à linux, où si vous démarrez un disque de réparation, vous pouvez simplement changer le mot de passe administrateur sans avoir besoin de tout le hack ...
pqnet

Réponses:

16

Afin d'empêcher un attaquant de démarrer à partir d'un disque de réparation et de l'utiliser pour accéder à votre système, vous devez suivre plusieurs étapes. Par ordre d'importance:

  • Utilisez vos paramètres BIOS / UEFI pour empêcher le démarrage à partir d'un support amovible ou exigez un mot de passe pour démarrer à partir d'un support externe. La procédure à suivre varie d'une carte mère à l'autre.
  • Verrouillez votre tour. Il existe généralement un moyen de réinitialiser les paramètres BIOS / UEFI (y compris les mots de passe) si un attaquant obtient un accès physique à la carte mère, vous voudrez donc éviter cela. La distance que vous parcourez dépend de facteurs tels que l'importance des données que vous protégez, le degré de dévouement de vos attaquants, le type de sécurité physique menant à votre poste de travail (par exemple, est-ce dans un bureau auquel seuls les collègues peuvent accéder ou est-ce dans une zone isolée ouverte au public), et combien de temps un attaquant typique devra briser votre sécurité physique sans être vu.
  • Utilisez une sorte de chiffrement de disque tel que BitLocker ou TrueCrypt. Bien que cela n'empêchera pas un attaquant dédié de reformater votre système s'il peut obtenir un accès physique et réinitialiser votre mot de passe BIOS, cela empêchera presque n'importe qui d'accéder à votre système (en supposant que vous gardez bien vos clés et que votre attaquant n'a pas accès à toutes les portes dérobées).
eToThePiIPower
la source
8

Le problème ici est l'accès physique à la machine. Désactivez la possibilité de démarrer à partir du CD / USB et verrouillez le BIOS avec un mot de passe. Cependant, cela n'empêchera pas quelqu'un avec suffisamment de temps seul avec la machine de s'y introduire avec de nombreuses méthodes différentes.

Michael Frank
la source
2
+1 L'un des nombreux ... Vous avez conduit un poteau de clôture, l'attaquant le contourne.
Fiasco Labs du
Si vous avez un accès physique, vous pouvez généralement réinitialiser les paramètres BIOS / UEFI aux paramètres d'usine par défaut.
Scolytus
5

SETHC.exe peut également être remplacé par une copie de explorer.exe (ou tout autre .exe) donnant également un accès complet au niveau du système à partir de l'écran de connexion. Pour ne pas répéter d'autres, mais si vous parlez de sécurité du serveur, je pense qu'une certaine sécurité physique est déjà en place. Le montant dépend du risque acceptable décrit par votre organisation.

Je poste ceci pour peut-être emprunter une voie différente. Si vous craignez que la communauté des utilisateurs de votre organisation ne le fasse ou ne le fasse aux postes de travail Windows 7 (comme vous l'avez décrit dans la question), le seul moyen de contourner ces types d'attaques consiste à "déplacer" le calcul vers le centre de données. Cela peut être accompli avec un certain nombre de technologies. Je choisirai les produits Citrix pour brièvement présenter le processus, bien que de nombreux autres fournisseurs proposent des offres similaires. À l'aide de XenApp, XenDesktop, Machine Creation Services ou Provisioning Services, vous pouvez «déplacer» le poste de travail dans le centre de données. À ce stade (tant que votre centre de données est sécurisé), vous disposez d'une sécurité physique sur le poste de travail. Vous pouvez utiliser des clients légers ou des postes de travail entièrement capables pour accéder au bureau hébergé depuis le centre de données. Dans l'un de ces scénarios, vous auriez besoin d'un hypverviseur comme cheval de bataille. L'idée est que l'état de sécurité de la machine physique sur laquelle l'utilisateur se trouve présente un risque minime, qu'il soit compromis ou non. Fondamentalement, les postes de travail physiques n'ont accès qu'à un nombre très limité de ressources (AD, DHCP, DNS, etc.). Avec ce scénario, toutes les données et tous les accès sont accordés uniquement aux ressources virtuelles du contrôleur de domaine et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration est plus adapté aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible. L'idée est que l'état de sécurité de la machine physique sur laquelle l'utilisateur se trouve présente un risque minime, qu'il soit compromis ou non. Fondamentalement, les postes de travail physiques n'ont accès qu'à un nombre très limité de ressources (AD, DHCP, DNS, etc.). Avec ce scénario, toutes les données et tous les accès sont accordés uniquement aux ressources virtuelles du contrôleur de domaine et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration est plus adapté aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible. L'idée est que l'état de sécurité de la machine physique sur laquelle l'utilisateur se trouve présente un risque minime, qu'il soit compromis ou non. Fondamentalement, les postes de travail physiques n'ont accès qu'à un nombre très limité de ressources (AD, DHCP, DNS, etc.). Avec ce scénario, toutes les données et tous les accès sont accordés uniquement aux ressources virtuelles du contrôleur de domaine et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration est plus adapté aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible. et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration convient davantage aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible. et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration convient davantage aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible.

MiTePython
la source
J'ai installé un tel environnement et je me suis fait foutre. 2 problèmes que je n'ai pas pu résoudre: l'utilisateur déchiffre le mot de passe de l'administrateur local sur le client léger et puisque le TC est sous Active Directory sur le serveur, l'administrateur local partage un dossier et le mappe dans sa machine virtuelle et le transfère. Deuxième problème: l'utilisateur utilise un simple enregistreur d'écran pour extraire les données lors du lancement d'un RDP.
AkshayImmanuelD
pourquoi les dossiers partagés par un administrateur local (pas un administrateur de serveur) sur une machine xp / win 7 dans un domaine de serveur, capables de partager des dossiers qui peuvent être mappés sur une machine virtuelle sur le serveur dans Hyper-V
AkshayImmanuelD
3

Désactivez simplement l'invite des touches rémanentes de l'exécution lorsque vous appuyez sur Maj 5 fois. Ensuite, lorsque CMD est renommé SETHC, il ne s'affiche pas. Résolu.

Win7:

  1. Démarrer> tapez "changer le fonctionnement de votre clavier"
  2. Cliquez sur la première option
  3. Cliquez sur configurer les touches rémanentes
  4. Décochez Activer les touches collantes lorsque vous appuyez sur Maj 5 fois.

Vous n'avez vraiment pas besoin d'avoir un disque ou une image Windows sur une clé USB pour que l'exploit fonctionne. J'essaie de dire que la désactivation du PC à partir d'un lecteur différent de celui du système interne n'empêchera pas l'exploit d'être exécuté. Cette solution de contournement est effectuée en réinitialisant l'ordinateur au démarrage et en utilisant une réparation de démarrage pour obtenir l'accès au système de fichiers pour renommer CMD en SETHC. Bien sûr, c'est dur sur le lecteur de disque, mais si vous faites irruption dans la machine de quelqu'un d'autre, vous ne vous en souciez pas vraiment.

user322263
la source