Как предотвратить взлом sethc.exe?

68395
Jesus Pedro

Существует эксплойт, который позволяет пользователям сбросить пароль администратора в Windows. Это делается путем загрузки с диска восстановления, запуска командной строки и замены C: \ Windows \ System32 \ sethc.exe на C: \ Windows \ System32 \ cmd.exe.

Когда комбинация клавиш закреплена на экране входа в систему, пользователи получают доступ к командной строке с правами администратора.

Это огромная дыра в безопасности, которая делает операционную систему уязвимой для всех, кто обладает малейшими знаниями в области ИТ. Это почти заставляет вас хотеть переключиться на Mac или Linux. Как это можно предотвратить?

15
Я действительно не понимаю, что в этом смысла. Это не так, как не существует утилит, которые могут сбросить пароли администратора (как те, что на BCD Hiren или Win7Live). Если злоумышленник может изменить файл sethc, он может использовать утилиту сброса ... EliadTech 10 лет назад 3
Если кто-то имеет физический доступ к вашему компьютеру, вы можете попрощаться с охраной. Bert 9 лет назад 25
Это почти заставляет вас хотеть переключиться на Linux, где, если вы загружаете диск восстановления, вы можете просто сменить пароль администратора без необходимости взлома ... pqnet 6 лет назад 2

4 ответа на вопрос

15
eToThePiIPower

Чтобы предотвратить загрузку злоумышленника с диска восстановления и использовать его для получения доступа к вашей системе, необходимо выполнить несколько шагов. В порядке важности:

  • Используйте настройки BIOS / UEFI, чтобы предотвратить загрузку со съемного носителя, или введите пароль для загрузки с внешнего носителя. Процедура этого варьируется от материнской платы к материнской плате.
  • Закрой свою башню. Обычно существует способ сброса настроек BIOS / UEFI (включая пароли), если злоумышленник получает физический доступ к материнской плате, поэтому вы можете предотвратить это. То, как далеко вы зайдете, зависит от таких факторов, как важность данных, которые вы защищаете, от того, насколько преданы ваши злоумышленники, вид физической безопасности, ведущей к вашей рабочей станции (например, в офисе, к которому могут получить доступ только коллеги или находится ли он в изолированной зоне, открытой для публики), и сколько времени обычному злоумышленнику придется нарушить вашу физическую безопасность, не будучи замеченным.
  • Используйте какой-либо тип шифрования диска, такой как BitLocker или TrueCrypt. Хотя это не помешает выделенному злоумышленнику переформатировать вашу систему, если он сможет получить физический доступ и сбросить ваш пароль BIOS, это помешает практически любому получить доступ к вашей системе (при условии, что вы надежно защитите свои ключи, а у злоумышленника нет доступ к любым бэкдорам).
7
Michael Frank

Проблема здесь заключается в физическом доступе к машине. Отключите возможность загрузки с CD / USB и заблокируйте BIOS с помощью пароля. Однако это не помешает кому-то, у которого достаточно времени наедине с машиной, взломать ее различными способами.

+1 Один из многих ... Вы управляли забором, злоумышленник обходит его. Fiasco Labs 10 лет назад 2
Если у вас есть физический доступ, обычно можно сбросить настройки BIOS / UEFI до заводских настроек по умолчанию. Scolytus 7 лет назад 0
4
MiTePython

SETHC.exe также может быть заменен копией explorer.exe (или любого другого .exe), обеспечивающего полный доступ на уровне системы с экрана входа в систему. Не повторять других, но если вы говорите о безопасности сервера, я бы подумал, что определенный уровень физической безопасности уже существует. Сколько, зависит от приемлемого риска, изложенного вашей организацией.

Я отправляю это, возможно, чтобы пойти другим путем. Если вы обеспокоены тем, что сообщество пользователей в вашей организации может или будет делать это с рабочими станциями Windows 7 (как вы описали в этом вопросе), единственный способ обойти эти типы атак - это «перенести» вычисления в центр обработки данных. Это может быть достигнуто с любым количеством технологий. Я выберу продукты Citrix для краткого обзора процесса, хотя многие другие поставщики предлагают аналогичные предложения. Используя XenApp, XenDesktop, Machine Creation Services или Provisioning Services, вы можете «переместить» рабочую станцию ​​в центр обработки данных. На этом этапе (если ваш центр обработки данных защищен) у вас есть физическая защита рабочей станции. Вы можете использовать тонкие клиенты или полностью рабочие станции для доступа к рабочему столу, расположенному в центре обработки данных. В любом из этих сценариев вам понадобится гипервизор в качестве рабочей лошадки. Идея состоит в том, что состояние безопасности физической машины, на которой находится пользователь, представляет собой ничтожно малый риск независимо от того, взломана она или нет. По сути, физические рабочие станции имеют доступ только к очень ограниченному количеству ресурсов (AD, DHCP, DNS и т. Д.). В этом сценарии все данные и весь доступ предоставляется только виртуальным ресурсам в DC, и даже если рабочая станция или тонкий клиент скомпрометированы, никакой выгоды от этой конечной точки получить невозможно. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ. Идея состоит в том, что состояние безопасности физической машины, на которой находится пользователь, представляет собой ничтожно малый риск независимо от того, взломана она или нет. По сути, физические рабочие станции имеют доступ только к очень ограниченному количеству ресурсов (AD, DHCP, DNS и т. Д.). В этом сценарии все данные и весь доступ предоставляется только виртуальным ресурсам в DC, и даже если рабочая станция или тонкий клиент скомпрометированы, никакой выгоды от этой конечной точки получить невозможно. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ. Идея состоит в том, что состояние безопасности физической машины, на которой находится пользователь, представляет собой ничтожно малый риск независимо от того, взломана она или нет. По сути, физические рабочие станции имеют доступ только к очень ограниченному количеству ресурсов (AD, DHCP, DNS и т. Д.). В этом сценарии все данные и весь доступ предоставляется только виртуальным ресурсам в DC, и даже если рабочая станция или тонкий клиент скомпрометированы, никакой выгоды от этой конечной точки получить невозможно. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ. и даже если рабочая станция или тонкий клиент скомпрометированы, с этой конечной точки невозможно получить никакой выгоды. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ. и даже если рабочая станция или тонкий клиент скомпрометированы, с этой конечной точки невозможно получить никакой выгоды. Этот тип настройки больше подходит для крупных предприятий или сред с высоким уровнем безопасности. Просто думал, что выкину это как возможный ответ.

Я настроил именно такую ​​среду и получил винт. 2 проблемы, которые я не смог решить: пользователь взламывает пароль локального администратора на тонком клиенте, и, поскольку TC находится в Active Directory на сервере, локальный администратор разделяет папку, сопоставляет ее с виртуальной машиной и передает ее. Вторая проблема: пользователь использует простой экранный видеомагнитофон для извлечения данных во время инициализации RDP. Akshay Immanuel D 7 лет назад 0
почему папки, совместно используемые локальным администратором (не администратором сервера) на компьютере xp / win 7 в домене сервера, могут совместно использовать папки, которые можно сопоставить на виртуальной машине на сервере в Hyper-V Akshay Immanuel D 7 лет назад 0
3
user322263

Просто отключите подсказку «липкие клавиши» от запуска, когда вы нажмете Shift 5 раз. Затем, когда CMD переименован в SETHC, он не появится. Решаемые.

Win7:

  1. Пуск> введите "изменить работу клавиатуры"
  2. Нажмите первый вариант
  3. Нажмите настроить липкие ключи
  4. Снимите флажок включения липких клавиш при нажатии клавиши Shift 5 раз.

Вам действительно не нужно иметь диск или образ Windows на USB, чтобы заставить эксплойт работать. Я пытаюсь сказать, что отключение запуска ПК с диска, отличного от внутреннего системного диска, не помешает выполнению эксплойта. Этот обходной путь выполняется путем перезагрузки компьютера при запуске и использования восстановления при запуске, чтобы получить доступ к файловой системе для переименования CMD в SETHC. Конечно, это тяжело на диске, но если вы взломали чужую машину, вам все равно.

Похожие вопросы