15

Существует эксплойт, который позволяет пользователям сбросить пароль администратора в Windows. Это делается путем загрузки с диска восстановления, запуска командной строки и замены C:\Windows\System32\sethc.exe на C:\Windows\System32\cmd.exe.

Когда комбинация клавиш закреплена на экране входа в систему, пользователи получают доступ к командной строке с правами администратора.

Это огромная дыра в безопасности, которая делает операционную систему уязвимой для всех, кто имеет хоть малейшие знания в области ИТ. Это почти заставляет вас хотеть переключиться на Mac или Linux. Как это можно предотвратить?

|источник

4 ответа4

15

Чтобы предотвратить загрузку злоумышленника с диска восстановления и использовать его для получения доступа к вашей системе, необходимо выполнить несколько шагов. В порядке важности:

  • Используйте настройки BIOS/UEFI, чтобы предотвратить загрузку со съемного носителя, или введите пароль для загрузки с внешнего носителя. Процедура этого варьируется от материнской платы к материнской плате.
  • Закрой свою башню. Обычно существует способ сброса настроек BIOS/UEFI (включая пароли), если злоумышленник получает физический доступ к материнской плате, поэтому вы можете предотвратить это. То, как далеко вы зайдете, зависит от таких факторов, как важность данных, которые вы защищаете, от того, насколько преданы ваши злоумышленники, вид физической безопасности, ведущей к вашей рабочей станции (например, в офисе, к которому могут получить доступ только коллеги или находится ли он в изолированной зоне, открытой для публики), и сколько времени обычному злоумышленнику придется нарушить вашу физическую безопасность, не будучи замеченным.
  • Используйте какой-либо тип шифрования диска, такой как BitLocker или TrueCrypt. Хотя это не помешает выделенному злоумышленнику переформатировать вашу систему, если он сможет получить физический доступ и сбросить ваш пароль BIOS, это помешает практически любому получить доступ к вашей системе (при условии, что вы надежно защитите свои ключи, а у злоумышленника нет доступ к любым бэкдорам).
|источник
7

Проблема здесь заключается в физическом доступе к машине. Отключите возможность загрузки с CD/USB и заблокируйте BIOS с помощью пароля. Однако это не помешает кому-то, у которого достаточно времени наедине с машиной, взломать ее различными способами.

|источник
4

SETHC.exe также может быть заменен копией explorer.exe (или любого другого .exe), обеспечивающего полный доступ на уровне системы с экрана входа в систему. Не повторять других, но если вы говорите о безопасности сервера, я бы подумал, что определенный уровень физической безопасности уже существует. Сколько, зависит от приемлемого риска, изложенного вашей организацией.

Я отправляю это, возможно, чтобы пойти другим путем. Если вы обеспокоены тем, что сообщество пользователей в вашей организации может или будет делать это с рабочими станциями Windows 7 (как вы описали в этом вопросе), единственный способ обойти эти типы атак - это "перенести" вычисления в центр обработки данных. Это может быть достигнуто с любым количеством технологий. Я выберу продукты Citrix для краткого обзора процесса, хотя многие другие поставщики предлагают аналогичные предложения. Используя XenApp, XenDesktop, Machine Creation Services или Provisioning Services, вы можете "переместить" рабочую станцию в центр обработки данных. На этом этапе (если ваш центр обработки данных защищен) у вас есть физическая защита рабочей станции. Вы можете использовать тонкие клиенты или полностью рабочие станции для доступа к рабочему столу, расположенному в центре обработки данных. В любом из этих сценариев вам понадобится гипервизор в качестве рабочей лошадки. Идея состоит в том, что состояние безопасности физической машины, на которой находится пользователь, представляет собой ничтожно малый риск независимо от того, подвергнута ли она опасности или нет. По сути, физические рабочие станции имеют доступ только к очень ограниченному количеству ресурсов (AD, DHCP, DNS и т.д.). В этом сценарии все данные и весь доступ предоставляется только виртуальным ресурсам в DC, и даже если рабочая станция или тонкий клиент скомпрометированы, никакой выгоды от этой конечной точки получить невозможно. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ.

|источник
3

Просто отключите подсказку «липкие клавиши» от запуска, когда вы нажмете Shift 5 раз. Затем, когда CMD переименован в SETHC, он не появится. Решаемые.

Win7:

  1. Пуск> введите "изменить работу клавиатуры"
  2. Нажмите первый вариант
  3. Нажмите настроить липкие ключи
  4. Снимите флажок включения липких клавиш при нажатии клавиши Shift 5 раз.

Вам действительно не нужно иметь диск или образ Windows на USB, чтобы заставить эксплойт работать. Я пытаюсь сказать, что отключение запуска ПК с диска, отличного от внутреннего системного диска, не помешает выполнению эксплойта. Этот обходной путь выполняется путем перезагрузки компьютера при запуске и использования восстановления при запуске, чтобы получить доступ к файловой системе для переименования CMD в SETHC. Конечно, это тяжело на диске, но если вы взломали чужую машину, вам все равно.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .