Wie kann man den sethc.exe-Hack verhindern?

19

Es gibt einen Exploit, mit dem Benutzer das Administratorkennwort unter Windows zurücksetzen können. Dazu wird von einer Reparaturdiskette gebootet, die Eingabeaufforderung gestartet und C: \ Windows \ System32 \ sethc.exe durch C: \ Windows \ System32 \ cmd.exe ersetzt.

Wenn die Festnetztastenkombination auf dem Anmeldebildschirm gedrückt wird, erhalten Benutzer Zugriff auf eine Eingabeaufforderung mit Administratorrechten.

Dies ist eine riesige Sicherheitslücke, die das Betriebssystem für jeden anfällig macht, der auch nur das geringste IT-Wissen besitzt. Es macht fast Lust auf einen Wechsel zu Mac oder Linux. Wie kann das verhindert werden?

Jesus Pedro
quelle
3
Ich verstehe wirklich nicht, was das Problem ist. Es ist nicht so, dass es keine Dienstprogramme gibt, die Administratorkennwörter zurücksetzen können (wie die auf Hirens BCD oder Win7Live). Wenn der Angreifer die Sethc-Datei ändern kann, kann er ein Reset-Dienstprogramm verwenden ...
EliadTech
27
Wenn jemand physischen Zugriff auf Ihren Computer hat, können Sie sich vom Sicherheitsdienst verabschieden.
Bert
2
Es bringt Sie fast dazu, auf Linux umzusteigen. Wenn Sie eine Reparaturdiskette booten, können Sie einfach das Administratorkennwort ändern, ohne den ganzen Hack zu benötigen ...
pqnet

Antworten:

16

Um zu verhindern, dass ein Angreifer von einer Reparaturdiskette bootet und damit Zugriff auf Ihr System erhält, sollten Sie verschiedene Schritte ausführen. Geordnet nach Wichtigkeit:

  • Verwenden Sie Ihre BIOS / UEFI-Einstellungen, um das Booten von Wechseldatenträgern zu verhindern, oder fordern Sie ein Kennwort an, um von externen Datenträgern zu booten. Die Vorgehensweise hierfür ist von Motherboard zu Motherboard unterschiedlich.
  • Schließ deinen Turm ab. Es gibt normalerweise eine Möglichkeit, die BIOS / UEFI-Einstellungen (einschließlich Kennwörter) zurückzusetzen, wenn ein Angreifer physischen Zugriff auf das Motherboard erhält. Sie sollten dies verhindern. Wie weit Sie gehen, hängt von Faktoren ab, wie wichtig die zu schützenden Daten sind, wie engagiert Ihre Angreifer sind, wie sicher Ihre Workstation ist (z. B. in einem Büro, auf das nur Mitarbeiter zugreifen können oder auf das nur Mitarbeiter zugreifen können) ist es in einem für die Öffentlichkeit zugänglichen Bereich) und wie viel Zeit ein typischer Angreifer benötigt, um Ihre physische Sicherheit zu durchbrechen, ohne gesehen zu werden.
  • Verwenden Sie eine Art Festplattenverschlüsselung wie BitLocker oder TrueCrypt. Dies hindert zwar einen dedizierten Angreifer nicht daran, Ihr System neu zu formatieren, wenn dieser physischen Zugriff erhalten und Ihr BIOS-Kennwort zurücksetzen kann, verhindert jedoch, dass nahezu jeder auf Ihr System zugreifen kann (vorausgesetzt, Sie schützen Ihre Schlüssel gut und Ihr Angreifer verfügt nicht über Zugang zu jeglichen Hintertüren).
eToThePiIPower
quelle
8

Hier geht es um den physischen Zugriff auf die Maschine. Deaktivieren Sie die Möglichkeit, von CD / USB zu starten und das BIOS mit einem Kennwort zu sperren. Dies wird jedoch nicht verhindern, dass jemand mit genügend Zeit alleine mit der Maschine mit zahlreichen verschiedenen Methoden in die Maschine eindringt.

Michael Frank
quelle
2
+1 Einer von vielen ... Sie sind mit einem Zaunpfosten gefahren, der Angreifer geht um ihn herum.
Fiasco Labs
Wenn Sie physischen Zugriff haben, können Sie normalerweise die BIOS / UEFI-Einstellungen auf die werkseitigen Standardeinstellungen zurücksetzen.
Scolytus
5

SETHC.exe kann auch durch eine Kopie von explorer.exe (oder einer anderen EXE-Datei) ersetzt werden, die über den Anmeldebildschirm den vollständigen Zugriff auf Systemebene ermöglicht. Um andere nicht zu wiederholen, aber wenn Sie über Serversicherheit sprechen, würde ich denken, dass ein gewisses Maß an physischer Sicherheit bereits vorhanden ist. Wie viel, hängt vom akzeptablen Risiko Ihrer Organisation ab.

Ich poste dies, um vielleicht einen anderen Weg zu gehen. Wenn Sie befürchten, dass die Benutzergemeinschaft in Ihrem Unternehmen dies auf den Windows 7-Arbeitsstationen durchführen kann oder wird (wie in der Frage beschrieben), besteht die einzige Möglichkeit, diese Arten von Angriffen zu umgehen, darin, den Computer in das Rechenzentrum zu verschieben. Dies kann mit einer beliebigen Anzahl von Technologien erreicht werden. Ich werde Citrix-Produkte auswählen, um einen kurzen Überblick über den Vorgang zu erhalten, obwohl viele andere Anbieter ähnliche Angebote anbieten. Mit XenApp, XenDesktop, Machine Creation Services oder Provisioning Services können Sie die Arbeitsstation in das Datencenter "verschieben". Zu diesem Zeitpunkt (solange Ihr Rechenzentrum sicher ist) haben Sie physische Sicherheit über die Workstation. Sie können entweder Thin Clients oder voll funktionsfähige Workstations verwenden, um auf den vom Rechenzentrum aus gehosteten Desktop zuzugreifen. In jedem dieser Szenarien benötigen Sie einen Hypvervisor als Arbeitspferd. Die Idee ist, dass der Sicherheitsstatus des physischen Computers, auf dem sich der Benutzer befindet, ein geringes Risiko darstellt, unabhängig davon, ob er gefährdet ist oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). In diesem Szenario werden alle Daten und der gesamte Zugriff nur auf die virtuellen Ressourcen im Domänencontroller gewährt, und selbst wenn die Arbeitsstation oder der Thin Client kompromittiert sind, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen. Die Idee ist, dass der Sicherheitsstatus des physischen Computers, auf dem sich der Benutzer befindet, ein geringes Risiko darstellt, unabhängig davon, ob er gefährdet ist oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). In diesem Szenario werden alle Daten und der gesamte Zugriff nur auf die virtuellen Ressourcen im Domänencontroller gewährt, und selbst wenn die Arbeitsstation oder der Thin Client kompromittiert sind, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen. Die Idee ist, dass der Sicherheitsstatus der physischen Maschine, auf der sich der Benutzer befindet, ein geringes Risiko darstellt, unabhängig davon, ob eine Gefährdung vorliegt oder nicht. Grundsätzlich haben die physischen Arbeitsstationen nur Zugriff auf eine sehr begrenzte Anzahl von Ressourcen (AD, DHCP, DNS usw.). In diesem Szenario werden alle Daten und der gesamte Zugriff nur auf die virtuellen Ressourcen im Domänencontroller gewährt, und selbst wenn die Arbeitsstation oder der Thin Client kompromittiert sind, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen. und selbst wenn die Workstation oder der Thin Client kompromittiert ist, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen. und selbst wenn die Workstation oder der Thin Client kompromittiert ist, kann von diesem Endpunkt kein Gewinn erzielt werden. Diese Art der Einrichtung ist eher für große Unternehmen oder Hochsicherheitsumgebungen geeignet. Ich dachte nur, ich würde das als mögliche Antwort rausschmeißen.

MiTePython
quelle
Ich habe gerade eine solche Umgebung eingerichtet und wurde geschraubt. 2 probleme, die ich nicht lösen konnte: der benutzer knackt das lokale admin-kennwort auf dem thin client und da sich der tc unter active directory auf dem server befindet, gibt der lokale admin einen ordner frei und ordnet ihn in seiner vm zu und überträgt ihn aus. Zweites Problem: Der Benutzer verwendet einen einfachen Bildschirmrekorder, um die Daten während des Initiierens eines RDP herauszunehmen.
AlphaGoku
Warum können Ordner, die von einem lokalen Administrator (nicht Serveradministrator) auf einem xp / win 7-Computer in einer Serverdomäne freigegeben wurden, Ordner
freigeben, die
3

Deaktivieren Sie einfach die Eingabeaufforderung "Sticky Keys", wenn Sie die Umschalttaste fünfmal drücken. Wenn CMD dann in SETHC umbenannt wird, wird es nicht angezeigt. Gelöst

Win7:

  1. Start> tippe "Ändere wie deine Tastatur funktioniert"
  2. Klicken Sie auf die erste Option
  3. Klicken Sie auf Sticky Keys einrichten
  4. Deaktivieren Sie die Option zum Aktivieren von Sticky Keys, wenn die Umschalttaste fünfmal gedrückt wird.

Sie müssen weder eine Windows-CD noch ein Windows-Image auf einem USB-Stick haben, damit der Exploit funktioniert. Ich versuche zu sagen, dass das Deaktivieren des PCs von einem anderen Laufwerk als dem internen Systemlaufwerk die Ausführung des Exploits nicht verhindert. Diese Problemumgehung wird durchgeführt, indem der Computer beim Start zurückgesetzt und eine Startreparatur ausgeführt wird, um auf das Dateisystem zuzugreifen und CMD in SETHC umzubenennen. Sicher, es ist hart auf der Festplatte, aber wenn Sie in die Maschine eines anderen einbrechen, ist es Ihnen egal.

user322263
quelle