Senha que quebra contas do Windows

35

No trabalho, temos laptops com discos rígidos criptografados. A maioria dos desenvolvedores aqui (ocasionalmente também sou culpada) deixa seus laptops no modo de hibernação quando os levam para casa à noite. Obviamente, o Windows (ou seja, existe um programa em execução em segundo plano que o faz no Windows) deve ter um método para descriptografar os dados na unidade ou não será possível acessá-lo. Dito isto, eu sempre pensei que deixar uma máquina Windows em modo de hibernação em um local não seguro (não trabalhando em um bloqueio) é uma ameaça à segurança, porque alguém poderia pegar a máquina, deixá-la em funcionamento, invadir as contas do Windows e use-o para criptografar os dados e roubar as informações. Quando pensei em como invadir o sistema Windows sem reiniciá-lo, não consegui descobrir se era possível.

Eu sei que é possível escrever um programa para quebrar senhas do Windows depois que você tiver acesso ao (s) arquivo (s) apropriado (s). Mas é possível executar um programa a partir de um sistema Windows bloqueado que faria isso? Não sei como fazê-lo, mas não sou especialista em Windows. Se sim, existe uma maneira de evitá-lo? Não quero expor vulnerabilidades de segurança sobre como fazê-lo; portanto, peço que alguém não publique as etapas necessárias em detalhes, mas se alguém puder dizer algo como "Sim, é possível que a unidade USB permita execução arbitrária, " isso seria bom!

EDIT: A ideia de estar com a criptografia é que você não pode reiniciar o sistema, porque, assim que a faz, a criptografia de disco no sistema exige um login antes de poder iniciar o Windows. Com a máquina em hibernação, o proprietário do sistema já ignorou a criptografia do invasor, deixando o Windows como a única linha de defesa para proteger os dados.

kemiller2002
fonte
Eu não posso acessá-lo agora, mas ter uma leitura da obra de mu-b na criptografia completa de disco quebrar: www.digit-labs.org/files/presentations/sec-t-2010.pdf
Rory Alsop

Respostas:

13

Deixar a máquina em hibernação definitivamente não é seguro, foi encontrada uma vulnerabilidade em que a RAM ainda contém a chave do bitlocker (e outros) na memória de hibernação. Já existe uma prova de ataque de conceito para esta vulnerabilidade.

O método de ataque é reiniciar rapidamente o PC e ler o conteúdo da RAM (que não é perdida quando a energia é cortada); em seguida, um programa pode pesquisar a chave no dump.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

A Microsoft já pode ter corrigido isso.

Porém, a alteração normal da senha do ps não afeta a criptografia, pois o conteúdo criptografado não é acessível sem a senha correta, portanto, simples discos de inicialização para alterar a senha não são riscos à segurança.


fonte
1
+1 Acho que isso é chamado de ataque de inicialização a frio .
Jonas Heidelberg
4

Como foi mencionado por workmad3 , a melhor maneira de atacar uma máquina bloqueada sem reiniciar é ver o quão vulnerável é a partir de uma conexão de rede.

Isso dependerá das políticas de segurança em vigor na sua rede. Por exemplo, todas as contas de domínio têm acesso administrativo a esses computadores? Nesse caso, verifique o compartilhamento padrão (\ pc-name \ c $). Se o compartilhamento padrão foi ativado por qualquer motivo, você tem acesso a todo o conteúdo do PC pela rede com sua própria conta. Não tenho certeza se isso funciona com um disco rígido criptografado, mas seria muito fácil de testar.

Depois de acessar remotamente o PC, você pode usar ferramentas como a ferramenta Psysec da Sysinternals para executar programas remotamente.

Obviamente, esse é apenas um vetor de ataque, e pode até não funcionar com discos rígidos criptografados, mas fornece uma idéia do que poderia ser feito.

EDIT: Se os laptops tiverem uma porta Firewire ativa, você poderá examinar esta vulnerabilidade . Novamente, não sei se isso ajudaria em uma máquina criptografada, pois é baseada no acesso direto à memória (que deve ser criptografada).

Marc Reside
fonte
Existe uma exploração do Firewire que permite desbloquear uma caixa do Windows sem inserir uma senha válida. Não importa se o disco rígido está criptografado.
@ Alexander Eu não estava ciente disso. Bom saber.
Marc Reside
Dê uma olhada em storm.net.nz/projects/16 para uma das ferramentas.
Não é apenas o Firewire, mas qualquer porta de expansão com DMA. Isso inclui PCMCIA, PCCard, ExpressCard, etc. A única diferença do vetor Firewire é o protocolo para acessar o barramento.
4

Obviamente, se alguém tiver acesso físico à máquina, todas as credenciais armazenadas poderão ser consideradas comprometidas.

Se for possível, por exemplo, inicializar a partir de um dispositivo USB ou unidade óptica, pode-se usar ferramentas apontar e clicar, como Ophcrack, para recuperar todas as senhas. Instruções aqui: USB Ophcrack | Cracker de senha de logon do Windows

Edit: Sim, eu sei que você teoricamente não pode voltar para um "disco rígido criptografado" se a máquina for reiniciada. A retenção ou não dessa reivindicação depende inteiramente do software usado para acessar as partições criptografadas. O BitLocker parece fazer um trabalho decente, mas muitas implementações anteriores eram basicamente uma piada - e, se você pode acessar a máquina, é fácil despejar o banco de dados SAM no pendrive e executar o cracking offline.

Mihai Limbăşan
fonte
2

Bem, meu primeiro pensamento seria acordá-lo da hibernação, acessar a tela de senha e começar a ver o que é vulnerável pela conexão de rede. Se a segurança de rede das máquinas reais não estiver correta, você poderá acessar muitas informações dessa maneira.

workmad3
fonte
1

Eu me pergunto o que aconteceria se você gravasse um CD-ROM com um autoplay.ini adequado aos propósitos de seu experimento e fizesse com que a máquina acordasse do modo de hibernação. Na verdade, eu não sei o que aconteceria, mas esse tipo de metodologia é o que eu exploraria se tentasse atacar uma máquina de hibernação - fazê-la acordar e introduzir um executável em uma de suas portas. Possui uma porta firewire? Em teoria, é então hackável a partir dessa interface.

Heath Hunnicutt
fonte
0

Que tipo de criptografia você está usando? BitLocker? Sistema de arquivos criptografado? Sem saber, não posso responder diretamente à sua pergunta.

De qualquer forma, sua segurança seria tão boa quanto o link mais fraco. Você precisa garantir que todos os patches de segurança mais recentes sejam instalados imediatamente. Caso contrário, ferramentas como o MetaSploit podem ser usadas para testar vulnerabilidades conhecidas e obter acesso de usuário ou administrador.

Spoulson
fonte
É um sistema de arquivos criptografados
kemiller2002
O EFS fornecerá apenas um requisito de que apenas o usuário proprietário ou possivelmente o administrador local possa acessar os arquivos. Se o PC ficar comprometido, isso seria trivial para contornar. Veja: en.wikipedia.org/wiki/Encrypting_File_System
spoulson
desculpe meu mal, eu tenho a terminologia misturada. Os arquivos são criptografados no disco.
precisa saber é o seguinte
0

O Vista e o XP-sp3 são muito menos rentáveis ​​que os sistemas operacionais anteriores, que armazenavam uma senha simplesmente criptografada para compatibilidade com LANMAN. Você ainda pode decifrar senhas fáceis usando algumas tabelas arco-íris muito grandes, mas, de outra forma, é bastante seguro de ferramentas como ophcrack.

Martin Beckett
fonte
0

No meu sistema de criptografia de disco rígido (PGP), sou obrigado a inserir a senha de criptografia ao retornar da hibernação.

De uma suspensão, isso não é permitido.

GvS
fonte
0

Se o seu arquivo de hibernação EFS em uso NÃO for criptografado e deve-se presumir que contém material de chave sensível necessário para descriptografar os arquivos EFS no disco.

Se você estiver usando criptografia de disco completo, o arquivo de hibernação será criptografado com todo o resto e esse risco será atenuado.

Existem vários vetores de ataque para o bitlocker / TPM, incluindo vários ataques de espionagem de barramento e estilo de tempestade. O TPM não foi projetado para proteger suas informações de um TLA determinado, mas ainda é bastante eficaz no caso de uso geral do mundo real.

O EFS pode ser contornado quebrando uma senha de usuário, a menos que opções significativas de syskey estejam ativadas para atenuar esse risco. O EFS é melhor que nada, a menos que você esteja usando o syskey e uma senha resistente à tabela Ub3r ra1nb0w, não esteja realmente apresentando uma barreira significativa para comprometer os dados do EFS.


fonte