¿Cómo prevenir el hack sethc.exe?


19

Hay un exploit que permite a los usuarios restablecer la contraseña de administrador en Windows. Se realiza arrancando desde un disco de reparación, iniciando el símbolo del sistema y reemplazando C: \ Windows \ System32 \ sethc.exe con C: \ Windows \ System32 \ cmd.exe.

Cuando se presiona la combinación de teclas fijas en la pantalla de inicio de sesión, los usuarios obtienen acceso a un símbolo del sistema con privilegios de administrador.

Este es un gran agujero de seguridad, hace que el sistema operativo sea vulnerable a cualquier persona con el más mínimo conocimiento de TI. Casi te hace querer cambiar a Mac o Linux. ¿Cómo puede ser prevenido?


3
Realmente no entiendo de qué se trata. No es que no haya utilidades que puedan restablecer las contraseñas de administrador (como las de Hiren's BCD o Win7Live). Si el atacante puede cambiar el archivo sethc, puede usar alguna utilidad de reinicio ...
EliadTech

27
Si alguien tiene acceso físico a su computadora, puede despedirse de la seguridad.
Bert

2
Casi te hace querer cambiar a Linux, donde si arrancas un disco de reparación puedes cambiar la contraseña del administrador sin la necesidad de todo el
pirateo

Respuestas:


16

Para evitar que un atacante arranque desde un disco de reparación y usarlo para obtener acceso a su sistema, hay varios pasos que debe seguir. En orden de importancia:

  • Use la configuración de BIOS / UEFI para evitar el arranque desde medios extraíbles, o requiera una contraseña para arrancar desde medios externos. El procedimiento para esto varía de placa base a placa base.
  • Cierra tu torre. Por lo general, hay una manera de restablecer la configuración de BIOS / UEFI (incluidas las contraseñas) si un atacante obtiene acceso físico a la placa base, por lo que querrá evitar esto. Qué tan lejos llegue depende de factores como la importancia de los datos que está protegiendo, qué tan dedicados son sus atacantes, el tipo de seguridad física que conduce a su estación de trabajo (por ejemplo, es en una oficina a la que solo pueden acceder sus compañeros de trabajo o ¿Está en un área aislada abierta al público?) y cuánto tiempo tendrá un atacante típico para romper su seguridad física sin ser visto.
  • Utilice algún tipo de cifrado de disco, como BitLocker o TrueCrypt. Si bien esto no evitará que un atacante dedicado vuelva a formatear su sistema si puede obtener acceso físico y restablecer su contraseña de BIOS, impedirá que casi cualquier persona tenga acceso a su sistema (suponiendo que proteja bien sus claves y su atacante no tenga acceso a cualquier puerta trasera).

8

El problema aquí es el acceso físico a la máquina. Desactive la capacidad de iniciar desde CD / USB y bloquee el BIOS con una contraseña. Sin embargo, esto no evitará que alguien con suficiente tiempo a solas con la máquina ingrese con numerosos métodos diferentes.


2
+1 Uno de muchos ... Condujiste un poste de la cerca, el atacante lo rodea.
Fiasco Labs

Si tiene acceso físico, generalmente se puede restablecer la configuración de BIOS / UEFI a los valores predeterminados de fábrica.
Scolytus

5

SETHC.exe también se puede reemplazar con una copia de explorer.exe (o cualquier otro .exe) que también proporciona acceso completo al nivel del sistema desde la pantalla de inicio de sesión. No repetiré a los demás, pero si estás hablando de la seguridad del servidor, creo que ya existe una cierta seguridad física. Cuánto depende del riesgo aceptable descrito por su organización.

Estoy publicando esto para quizás ir a una ruta diferente. Si le preocupa que la comunidad de usuarios de su organización pueda o haga esto a las estaciones de trabajo de Windows 7 (como describió en la pregunta), la única forma de evitar estos tipos de ataques es "mover" el cómputo al centro de datos. Esto se puede lograr con cualquier cantidad de tecnologías. Elegiré los productos Citrix para hacer una breve descripción general del proceso, aunque muchos otros proveedores ofrecen ofertas similares. Con XenApp, XenDesktop, Machine Creation Services o Provisioning Services, puede "mover" la estación de trabajo al centro de datos. En este punto (siempre que su centro de datos sea seguro), tiene seguridad física en la estación de trabajo. Puede usar clientes ligeros o estaciones de trabajo totalmente capaces para acceder al escritorio alojado desde el centro de datos. En cualquiera de estos escenarios, necesitaría algún hipvervisor como el caballo de batalla. La idea es que el estado de seguridad de la máquina física en la que se encuentra el usuario es de riesgo minúsculo, independientemente de si está comprometido o no. Básicamente, las estaciones de trabajo físicas solo tienen acceso a un número muy limitado de recursos (AD, DHCP, DNS, etc.). Con este escenario, todos los datos y todos los accesos se otorgan solo a los recursos virtuales en el DC, e incluso si la estación de trabajo o el cliente ligero están comprometidos, no se puede obtener ganancia de ese punto final. Este tipo de configuración es más para grandes empresas o entornos de alta seguridad. Solo pensé en tirar esto como una posible respuesta. La idea es que el estado de seguridad de la máquina física en la que se encuentra el usuario es de riesgo minúsculo, independientemente de si está comprometido o no. Básicamente, las estaciones de trabajo físicas solo tienen acceso a un número muy limitado de recursos (AD, DHCP, DNS, etc.). Con este escenario, todos los datos y todos los accesos se otorgan solo a los recursos virtuales en el DC, e incluso si la estación de trabajo o el cliente ligero están comprometidos, no se puede obtener ganancia de ese punto final. Este tipo de configuración es más para grandes empresas o entornos de alta seguridad. Solo pensé en tirar esto como una posible respuesta. La idea es que el estado de seguridad de la máquina física en la que se encuentra el usuario es de riesgo minúsculo, independientemente de si está comprometido o no. Básicamente, las estaciones de trabajo físicas solo tienen acceso a un número muy limitado de recursos (AD, DHCP, DNS, etc.). Con este escenario, todos los datos y todos los accesos se otorgan solo a los recursos virtuales en el DC, e incluso si la estación de trabajo o el cliente ligero están comprometidos, no se puede obtener ganancia de ese punto final. Este tipo de configuración es más para grandes empresas o entornos de alta seguridad. Solo pensé en tirar esto como una posible respuesta. e incluso si la estación de trabajo o el cliente ligero están comprometidos, no se puede obtener ganancia de ese punto final. Este tipo de configuración es más para grandes empresas o entornos de alta seguridad. Solo pensé en tirar esto como una posible respuesta. e incluso si la estación de trabajo o el cliente ligero están comprometidos, no se puede obtener ganancia de ese punto final. Este tipo de configuración es más para grandes empresas o entornos de alta seguridad. Solo pensé en tirar esto como una posible respuesta.


Configuré un entorno así y me jodí. 2 problemas que no pude resolver: el usuario descifra la contraseña del administrador local en el Thin Client y, dado que el TC está bajo Active Directory en el servidor, el administrador local comparte una carpeta y la asigna en su VM y la transfiere. Segundo problema: el usuario usa una grabadora de pantalla simple para extraer los datos mientras inicia un RDP.
AlphaGoku el

¿Por qué las carpetas compartidas por un administrador local (no el administrador del servidor) en una máquina xp / win 7 en un dominio de servidor, pueden compartir carpetas que se pueden asignar en una máquina virtual en el servidor en Hyper-V
AlphaGoku

3

Simplemente deshabilite la ejecución de las teclas adhesivas cuando presione Mayús 5 veces. Luego, cuando CMD cambia de nombre a SETHC, no aparecerá. Resuelto

Win7:

  1. Inicio> escriba "cambiar cómo funciona su teclado"
  2. Haga clic en la primera opción.
  3. Haga clic en configurar teclas adhesivas
  4. Desmarque activar teclas adhesivas cuando se presiona shift 5 veces.

Realmente no necesitas tener un disco o imagen de Windows en un USB para que el exploit funcione. Estoy tratando de decir que deshabilitar la PC para que no se inicie desde una unidad diferente a la unidad del sistema interno no evitará que se realice la explotación. Esta solución se realiza reiniciando la computadora cuando se está iniciando y utilizando una reparación de inicio para obtener acceso al sistema de archivos para cambiar el nombre de CMD a SETHC. Claro, es difícil en la unidad de disco, pero si estás entrando en la máquina de otra persona, realmente no te importa.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.