Para empezar, este es un método de ataque basado en ingeniería social, donde el atacante obtiene acceso al equipo de plataforma Microsoft Windows que desea atacar y es capáz de insertar una memoria flash USB.
La mayoría de las versiones de Windows tienen habilitada por defecto la búsqueda y ejecución de software al insertar un nuevo dispositivo, esto se ha usado con propósitos tan distintos como la instalación de controladores del mismo dispositivo, ejecución de software portátil y servicios antipiratería, hasta malware. Aunque de no tener esta función habilitada basta un pequeño extra de ingeniería social para activar el software manualmente.
Esta vulnerabilidad en windows se empieza a notar cuando en el 2005, se descubre que Sony había estado incluyendo "Extended Copy Protection" y "Media Max CD-3" en más de 100 títulos de CDs de música, programas que se instalan automática y silenciosamente en el sistema operativo, capaces además de ocultar sus procesos, como un rootkit.
Usando una técnica similar se puede transportar esto a una herramienta USB, existen varios métodos, pero el más sencillo es haciendo uso del famoso "autorun", ya que se puede hacer en cualquier USB con tan sólo invocar a un archivo de comandos desde el autorun.inf y listando todos los programas que se desean ejecutar desde el USB, aunque éste es el metodo que requiere ingeniería social extra.
Ahora, el método más efectivo se realiza haciendo uso de la tecnología "U3", que es simplemente una memoria USB con controladores especiales, que permiten que windows vea al dispositivo con una partición virtual extra, cargando en ella el software que se desea ejecutar y procesándola como una unidad de CD. Ésta partición, además de poderse ejecutar sin avisarle al usuario, aparece como una unidad invisible, propiedad que por defecto el sistema operativo de microsoft provoca que el usuario no pueda verla.
Existen varios paquetes de software disponibles para extraer de la computadora todo tipo de información, desde claves de windows, office, cuentas de correo, messenger, puertos abiertos, servicios ejecutándose, ... las posibilidades son... pues cualquier aplicación que pueda ejecutarse desde una USB. Y esto es sólo el comienzo, ya que Linux también posee una función similar.
Éste último método también es utilizado por Microsoft...
Así es, Microsoft ha estado distribuyendo dispositivos USB con tecnología U3, de manera gratuita para agentes federales del departamento forense de TI a más de 2,000 oficiales en más de 15 países desde Junio del 2008, se trata de un kit de más de 150 herramientas (disponibles públicamente) llamado COFEE, Computer Online Forensic Evidence Extractor, que les permite extraer todo tipo de información del equipo víctima.
¿Ya desactivaste la autoejecución de dispositivos?
Referencias:
1 comentario:
Buena nota, por aquí tengo un USB que extrae precisamente contraseñas y demás información y la envía a un correo externo. La única forma de protegerse es inhabilitando la ejecución del autorun.inf en el registry. Saludos.
Publicar un comentario