Comment empêcher le hack sethc.exe?

Il existe un exploit qui permet aux utilisateurs de réinitialiser le mot de passe administrateur sous Windows. Cela se fait en démarrant à partir d'un disque de réparation, en démarrant l'invite de commande et en remplaçant C: \ Windows \ System32 \ sethc.exe par C: \ Windows \ System32 \ cmd.exe.

Lorsque la combinaison de touches persistantes est enfoncée dans l'écran de connexion, les utilisateurs ont accès à une invite de commande avec des privilèges d'administrateur.

Il s'agit d'un énorme trou de sécurité, ce qui rend le système d'exploitation vulnérable à toute personne ayant la moindre connaissance informatique. Cela donne presque envie de passer à Mac ou Linux. Comment peut-il être évité?

Afin d'empêcher un attaquant de démarrer à partir d'un disque de réparation et de l'utiliser pour accéder à votre système, vous devez suivre plusieurs étapes. Par ordre d'importance:

• Utilisez vos paramètres BIOS / UEFI pour empêcher le démarrage à partir d'un support amovible ou exigez un mot de passe pour démarrer à partir d'un support externe. La procédure à suivre varie d'une carte mère à l'autre.
• Verrouillez votre tour. Il existe généralement un moyen de réinitialiser les paramètres BIOS / UEFI (y compris les mots de passe) si un attaquant obtient un accès physique à la carte mère, vous voudrez donc éviter cela. La distance que vous parcourez dépend de facteurs tels que l'importance des données que vous protégez, le degré de dévouement de vos attaquants, le type de sécurité physique menant à votre poste de travail (par exemple, est-ce dans un bureau auquel seuls les collègues peuvent accéder ou est-ce dans une zone isolée ouverte au public), et combien de temps un attaquant typique devra briser votre sécurité physique sans être vu.
• Utilisez une sorte de chiffrement de disque tel que BitLocker ou TrueCrypt. Bien que cela n'empêchera pas un attaquant dédié de reformater votre système s'il peut obtenir un accès physique et réinitialiser votre mot de passe BIOS, cela empêchera presque n'importe qui d'accéder à votre système (en supposant que vous gardez bien vos clés et que votre attaquant n'a pas accès à toutes les portes dérobées).

Le problème ici est l'accès physique à la machine. Désactivez la possibilité de démarrer à partir du CD / USB et verrouillez le BIOS avec un mot de passe. Cependant, cela n'empêchera pas quelqu'un avec suffisamment de temps seul avec la machine de s'y introduire avec de nombreuses méthodes différentes.

SETHC.exe peut également être remplacé par une copie de explorer.exe (ou tout autre .exe) donnant également un accès complet au niveau du système à partir de l'écran de connexion. Pour ne pas répéter d'autres, mais si vous parlez de sécurité du serveur, je pense qu'une certaine sécurité physique est déjà en place. Le montant dépend du risque acceptable décrit par votre organisation.

Je poste ceci pour peut-être emprunter une voie différente. Si vous craignez que la communauté des utilisateurs de votre organisation ne le fasse ou ne le fasse aux postes de travail Windows 7 (comme vous l'avez décrit dans la question), le seul moyen de contourner ces types d'attaques consiste à "déplacer" le calcul vers le centre de données. Cela peut être accompli avec un certain nombre de technologies. Je choisirai les produits Citrix pour brièvement présenter le processus, bien que de nombreux autres fournisseurs proposent des offres similaires. À l'aide de XenApp, XenDesktop, Machine Creation Services ou Provisioning Services, vous pouvez «déplacer» le poste de travail dans le centre de données. À ce stade (tant que votre centre de données est sécurisé), vous disposez d'une sécurité physique sur le poste de travail. Vous pouvez utiliser des clients légers ou des postes de travail entièrement capables pour accéder au bureau hébergé depuis le centre de données. Dans l'un de ces scénarios, vous auriez besoin d'un hypverviseur comme cheval de bataille. L'idée est que l'état de sécurité de la machine physique sur laquelle l'utilisateur se trouve présente un risque minime, qu'il soit compromis ou non. Fondamentalement, les postes de travail physiques n'ont accès qu'à un nombre très limité de ressources (AD, DHCP, DNS, etc.). Avec ce scénario, toutes les données et tous les accès sont accordés uniquement aux ressources virtuelles du contrôleur de domaine et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration est plus adapté aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible. L'idée est que l'état de sécurité de la machine physique sur laquelle l'utilisateur se trouve présente un risque minime, qu'il soit compromis ou non. Fondamentalement, les postes de travail physiques n'ont accès qu'à un nombre très limité de ressources (AD, DHCP, DNS, etc.). Avec ce scénario, toutes les données et tous les accès sont accordés uniquement aux ressources virtuelles du contrôleur de domaine et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration est plus adapté aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible. L'idée est que l'état de sécurité de la machine physique sur laquelle l'utilisateur se trouve présente un risque minime, qu'il soit compromis ou non. Fondamentalement, les postes de travail physiques n'ont accès qu'à un nombre très limité de ressources (AD, DHCP, DNS, etc.). Avec ce scénario, toutes les données et tous les accès sont accordés uniquement aux ressources virtuelles du contrôleur de domaine et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration est plus adapté aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible. et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration convient davantage aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible. et même si la station de travail ou le client léger est compromis, aucun gain ne peut être obtenu à partir de ce point de terminaison. Ce type de configuration convient davantage aux grandes entreprises ou aux environnements à haute sécurité. Je pensais juste que je jetterais cela comme une réponse possible.

Désactivez simplement l'invite des touches rémanentes de l'exécution lorsque vous appuyez sur Maj 5 fois. Ensuite, lorsque CMD est renommé SETHC, il ne s'affiche pas. Résolu.

Win7:

1. Démarrer> tapez "changer le fonctionnement de votre clavier"
2. Cliquez sur la première option
3. Cliquez sur configurer les touches rémanentes
4. Décochez Activer les touches collantes lorsque vous appuyez sur Maj 5 fois.

Vous n'avez vraiment pas besoin d'avoir un disque ou une image Windows sur une clé USB pour que l'exploit fonctionne. J'essaie de dire que la désactivation du PC à partir d'un lecteur différent de celui du système interne n'empêchera pas l'exploit d'être exécuté. Cette solution de contournement est effectuée en réinitialisant l'ordinateur au démarrage et en utilisant une réparation de démarrage pour obtenir l'accès au système de fichiers pour renommer CMD en SETHC. Bien sûr, c'est dur sur le lecteur de disque, mais si vous faites irruption dans la machine de quelqu'un d'autre, vous ne vous en souciez pas vraiment.