Cuentas de Windows para descifrar contraseñas

35

En el trabajo tenemos computadoras portátiles con discos duros cifrados. La mayoría de los desarrolladores aquí (en ocasiones también he sido culpable) dejan sus computadoras portátiles en modo de hibernación cuando las llevan a casa por la noche. Obviamente, Windows (es decir, hay un programa ejecutándose en segundo plano que lo hace para Windows) debe tener un método para desencriptar los datos en la unidad, o no podrá acceder a ellos. Dicho esto, siempre pensé que dejar una máquina de Windows encendida en modo de hibernación en un lugar no seguro (no en el trabajo en una cerradura) es una amenaza de seguridad, porque alguien podría tomar la máquina, dejarla en funcionamiento, piratear las cuentas de Windows y úselo para encriptar los datos y robar la información. Cuando pensé en cómo iría a entrar al sistema de Windows sin reiniciarlo, no pude averiguar si era posible.

Sé que es posible escribir un programa para descifrar las contraseñas de Windows una vez que tenga acceso a los archivos apropiados. Pero, ¿es posible ejecutar un programa desde un sistema Windows bloqueado que haga esto? No sé cómo hacerlo, pero no soy un experto en Windows. Si es así, ¿hay alguna manera de prevenirlo? No quiero exponer vulnerabilidades de seguridad sobre cómo hacerlo, por lo que pediría que alguien no publique los pasos necesarios en detalles, pero si alguien pudiera decir algo como "Sí, es posible que la unidad USB permita una ejecución arbitraria, " ¡eso seria genial!

EDITAR: La idea de estar con el cifrado es que no puede reiniciar el sistema, porque una vez que lo hace, el cifrado del disco en el sistema requiere un inicio de sesión antes de poder iniciar Windows. Con la máquina en hibernación, el propietario del sistema ya ha evitado el cifrado para el atacante, dejando a Windows como la única línea de defensa para proteger los datos.

kemiller2002
fuente
No puedo acceder a él en este momento, pero he leído el trabajo de mu-b para romper el cifrado de disco completo: www.digit-labs.org/files/presentations/sec-t-2010.pdf
Rory Alsop

Respuestas:

13

Dejar la máquina en hibernación definitivamente no es seguro, se ha encontrado una vulnerabilidad donde la RAM todavía contiene la clave para el bitlocker (y otros) en la memoria de hibernación. Ya existe un ataque de prueba de concepto para esta vulnerabilidad.

El método de ataque es reiniciar rápidamente la PC y leer el contenido de la RAM (que no se pierde cuando se corta la energía), luego un programa puede buscar la clave en el volcado.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Sin embargo, Microsoft ya puede haber solucionado esto.

Sin embargo, el cambio de contraseña normal de ps no afecta el cifrado, ya que el contenido cifrado no es accesible sin la contraseña correcta, por lo que los discos de arranque de cambio de contraseña simples no son riesgos para la seguridad.


fuente
1
+1 Creo que esto es lo que se llama un ataque de arranque en frío .
Jonas Heidelberg
4

Como mencionó workmad3 , la mejor manera de atacar una máquina que está bloqueada sin reiniciar es ver cuán vulnerable es desde una conexión de red.

Esto dependerá de las políticas de seguridad vigentes en su red. Por ejemplo, ¿todas las cuentas de dominio tienen acceso administrativo a estas PC? Si es así, verifique el recurso compartido predeterminado (\ pc-name \ c $). Si el recurso compartido predeterminado se ha activado por algún motivo, tiene acceso a todo el contenido de la PC a través de la red con su propia cuenta. No estoy seguro de si esto funciona con un disco duro cifrado, pero sería bastante fácil de probar.

Una vez que tenga acceso a la PC de forma remota, puede usar herramientas como la herramienta PsExec de Sysinternals para ejecutar programas de forma remota.

Por supuesto, ese es solo un vector de ataque, y es posible que ni siquiera funcione con discos duros cifrados, pero le da una idea de lo que podría hacerse.

EDITAR: si las computadoras portátiles tienen un puerto Firewire activo, puede echar un vistazo a esta vulnerabilidad . Nuevamente, no sé si esto ayudaría con una máquina encriptada, ya que se basa en el acceso directo a la memoria (que debería estar encriptada).

Marc Reside
fuente
Hay un exploit Firewire que le permite desbloquear un cuadro de Windows sin ingresar una contraseña válida. No importa si el disco duro está encriptado.
@Alexander No estaba al tanto de eso. Bueno saber.
Marc Reside
Eche un vistazo a storm.net.nz/projects/16 para obtener una de las herramientas.
No es solo Firewire, sino cualquier puerto de expansión con DMA. Esto incluye PCMCIA, PCCard, ExpressCard, etc. La única diferencia con el vector Firewire es el protocolo para acceder al bus.
4

Obviamente, si alguien tiene acceso físico a la máquina, todas las credenciales almacenadas pueden considerarse comprometidas.

Si uno puede, por ejemplo, arrancar desde un dispositivo USB o unidad óptica, puede usar herramientas de apuntar y hacer clic, como Ophcrack, para recuperar todas las contraseñas. Instrucciones aquí: USB Ophcrack | Cracker de contraseña de inicio de sesión de Windows

Editar: Sí, soy consciente de que, en teoría, no puede volver a un "disco duro cifrado" si la máquina se reinicia. Si esa reclamación se mantiene o no depende completamente del software utilizado para acceder a las particiones cifradas. BitLocker parece hacer un trabajo decente, pero muchas implementaciones anteriores eran básicamente una broma, y ​​si puede acceder a la máquina, es trivialmente fácil volcar la base de datos SAM en la memoria USB y realizar el craqueo sin conexión.

Mihai Limbăşan
fuente
2

Bueno, mi primer pensamiento sería despertarlo de la hibernación, acceder a la pantalla de contraseña y luego comenzar a ver qué es vulnerable a través de la conexión de red. Si la seguridad real de la red de las máquinas no está a la altura, entonces podría obtener acceso a mucha información de esta manera.

workmad3
fuente
1

Me pregunto qué sucedería si grabas un CD-ROM con un autoplay.ini adecuado para los fines de tu experimento, y luego haces que la máquina se active del modo de hibernación. En realidad, no sé qué pasaría, pero ese tipo de metodología es lo que exploraría si intentara atacar una máquina en hibernación: hacer que se active e introducir un ejecutable en uno de sus puertos. ¿Tiene un puerto FireWire? En teoría, es pirateable desde esa interfaz.

Heath Hunnicutt
fuente
0

¿Qué tipo de encriptación estás usando? BitLocker? Sistema de archivos cifrados? Sin saberlo, no puedo responder directamente a tu pregunta.

En cualquier caso, su seguridad sería tan buena como el eslabón más débil. Debe asegurarse de que todos los últimos parches de seguridad se instalen de inmediato. De lo contrario, herramientas como MetaSploit se pueden usar para probar vulnerabilidades conocidas y obtener acceso de usuario o administrador.

Spoulson
fuente
Es un sistema de archivos cifrados
kemiller2002
EFS solo proporcionará un requisito de que solo el usuario propietario o posiblemente el administrador local puedan acceder a los archivos. Si la PC se ve comprometida, esto sería trivial de eludir. Ver: en.wikipedia.org/wiki/Encrypting_File_System
spoulson el
Lo siento, lo malo, me confundí la terminología. Los archivos están encriptados en el disco.
kemiller2002
0

Vista y XP-sp3 son mucho menos vulnerables que los sistemas operativos anteriores que almacenaban una contraseña simplemente encriptada para la compatibilidad con LANMAN. Todavía puede descifrar contraseñas fáciles usando algunas tablas de arcoiris muy grandes, pero de lo contrario es bastante seguro con herramientas como ophcrack.

Martin Beckett
fuente
0

En mi sistema de cifrado de disco duro (PGP), debo ingresar la contraseña de cifrado cuando regrese de la hibernación.

Desde una suspensión, no está permitido.

GvS
fuente
0

Si usa el archivo de hibernación EFS NO está encriptado y se debe suponer que contiene material de codificación sensible necesario para descifrar los archivos EFS en el disco.

Si usa el cifrado de disco completo, el archivo de hibernación se cifra con todo lo demás y se mitiga este riesgo.

Hay varios vectores de ataque para Bitlocker / TPM, incluidos varios ataques de espionaje de bus y tempestad. TPM no fue diseñado para proteger su información de un TLA determinado, pero sigue siendo bastante efectivo en el caso de uso general del mundo real.

EFS se puede eludir descifrando la contraseña de un usuario a menos que se habiliten opciones significativas de syskey para mitigar este riesgo. EFS es mejor que nada, pero a menos que use syskey y una contraseña resistente a la tabla Ub3r ra1nb0w, realmente no presenta una barrera significativa para comprometer sus datos EFS en primer lugar.


fuente