Questão Qual é o perigo de inserir e navegar em uma unidade USB não confiável?


Suponha que alguém queira que eu copie alguns arquivos para o pendrive. Estou executando o Windows 7 x64 com o AutoRun desabilitado (via Diretiva de Grupo). Eu insiro a unidade USB, abra-o no Windows Explorer e copie alguns arquivos para ele. Eu não corro ou vejo nenhum dos arquivos existentes. Que coisas ruins podem acontecer se eu fizer isso?

E se eu fizer isso no Linux (digamos, Ubuntu)?

Por favor note que estou procurando detalhes do específico riscos (se houver), não "seria mais seguro se você não fizer isso".


129


origem


Olhando para uma listagem de diretório é improvável que seja um risco. Abrir um PDF mal-intencionado em uma versão antiga sem correção do Adobe Reader pode ser um grande risco. Em alguns casos, até mesmo uma visualização de imagem ou um ícone de arquivo pode conter uma exploração. - david25272
@ david25272, mesmo olhando para uma lista de diretórios poderia ser um risco. - tangrs
É um pouco como entrar em um elevador com um estranho, na maioria das vezes você está bem, mas se o estranho é também conhecido como Hannibal Lecter ... - PatrickT
Você poderia quebrar sua centrífuga de urânio en.wikipedia.org/wiki/Stuxnet - RyanS
@tangrs, esse é um ótimo exemplo do tipo de coisa que eu estava procurando. Por que não postar como resposta? - EM0


Respostas:


De forma menos impressionante, o seu navegador de arquivos GUI normalmente explorará arquivos para criar miniaturas. Qualquer exploit baseado em pdf, baseado em ttf, (baseado no tipo de arquivo baseado em turma aqui), que funcione em seu sistema, poderia ser lançado passivamente, largando o arquivo e esperando que ele seja escaneado pelo thumbnail. A maioria das explorações que eu sei sobre isso são para o Windows, mas não subestime as atualizações para o libjpeg.


45



Essa é uma possibilidade, então +1. O Windows Explorer (ou Nautilus) faz isso mesmo se você nunca visualizar miniaturas? - EM0
@EM Pode acontecer - versões recentes do explorador podem, por exemplo, construir miniaturas em subpastas para ícones bonitos de pastas na raiz, mesmo que essas subpastas estejam definidas para nunca exibir miniaturas. - Tynam
Ou talvez não tente exibir miniaturas, mas sim algum tipo de metadados - That Brazilian Guy
Isso não é específico para um sistema de arquivos montado em USB. Se um navegador de arquivos tiver uma vulnerabilidade, poderá ser acionado por arquivos baixados para o seu computador por outros meios também, como anexos de email ou downloads pelo navegador. - HRJ


O pior que pode acontecer é limitado apenas pela imaginação do seu atacante. Se você for paranóico, conectar fisicamente praticamente qualquer dispositivo ao seu sistema significa que ele pode ser comprometido. Duplamente por isso, se esse dispositivo se parece com um simples stick USB.

E se for isso? enter image description here

Na foto acima é o infame Patinho de borracha USB, um pequeno dispositivo que se parece com um pen drive normal, mas pode entregar pressionamentos arbitrários de teclas ao seu computador. Basicamente, ele pode fazer o que quiser porque se registra como um teclado e, em seguida, digita qualquer sequência de chaves que desejar. Com esse tipo de acesso, ele pode fazer todos os tipos de coisas desagradáveis (e esse é apenas o primeiro hit que encontrei no Google). A coisa é roteirizada, então o céu é o limite.


185



Nice one, +1! No cenário que eu tinha em mente o stick USB é conhecido por ser um dispositivo de armazenamento real e eu confio na pessoa que me dá para não maliciosamente infectar meu computador. (Eu estou principalmente preocupado que eles podem ser a própria vítima de um vírus.) Mas este é um ataque interessante que eu não tinha considerado. Eu suponho que com um emulador de teclado como este eu provavelmente notaria algo estranho acontecendo, mas pode haver formas mais furtivas ... - EM0
Eu aprovo essa resposta. Faz o OP pensar :) - steve
+1 "O pior que pode acontecer é limitado apenas pela imaginação do seu atacante." - Newb
Hak5 - parece legítimo! - david25272
Aparentemente, o protocolo de conexão USB é bastante semelhante ao antigo protocolo de porta PS / 2, razão pela qual o USB é comumente usado para Mouses e Teclados. (Eu posso estar errado, é claro - estou descobrindo isso da minha própria memória, que apresenta principalmente compressão com perdas) - Pharap


Outro perigo é que o Linux tentará montar qualquer coisa (piada suprimida aqui).

Alguns dos drivers do sistema de arquivos não estão livres de erros. O que significa que um hacker poderia encontrar um bug em, digamos, squashfs, minix, befs, cramfs ou udf. Então, esse hacker poderia criar um sistema de arquivos que explora esse bug para assumir o controle de um kernel Linux e colocá-lo em uma unidade USB.

Isso poderia, teoricamente, acontecer com o Windows também. Um bug no driver FAT ou NTFS ou CDFS ou UDF pode abrir o Windows para uma transferência.


37



+1 Isso seria uma exploração pura e inteiramente possível - steve
Há um nível inteiro mais abaixo. Não só os sistemas de arquivos possuem erros, mas toda pilha USB tem errose muito disso é executado no kernel. - Fake Name
E até mesmo o firmware do seu controlador USB pode ter pontos fracos que podem ser explorados. Houve um exploit de invadir o Windows com um stick USB apenas em nível de enumeração de dispositivo. - sylvainulg
Quanto ao "linux tentando montar qualquer coisa", este não é o comportamento padrão do sistema, mas está ligado ao seu explorador de arquivos que tenta montar de forma proativa. Tenho certeza de spelunking manpages poderia desvendar como desativar isso e voltar a "montar apenas sob demanda". - sylvainulg
Tanto o Linux quanto o Windows tentam montar tudo. A única diferença é que o Linux pode realmente ter sucesso. Isso não é uma fraqueza do sistema, mas uma força. - terdon


Existem vários pacotes de segurança que me permitem configurar um script de execução automática para o Linux OR Windows, executando automaticamente meu malware assim que você o conecta. É melhor não conectar dispositivos nos quais você não confia!

Lembre-se de que posso anexar softwares mal-intencionados a praticamente qualquer tipo de executável que eu queira e a praticamente qualquer sistema operacional. Com autorun desativado você deve estar seguro, mas novamente, eu não confio em dispositivos que eu sou nem um pouco cético sobre.

Para um exemplo do que pode fazer isso, confira O kit de ferramentas do engenheiro social (SET).

A ÚNICA maneira de realmente estar seguro é inicializar uma distribuição Linux ao vivo, com seu disco rígido desconectado .. E montar o drive USB e dar uma olhada. Fora isso, você está rolando os dados.

Como sugerido abaixo, é necessário que você desabilite a rede. Não ajuda se o seu disco rígido estiver seguro e toda a sua rede ficar comprometida. :)


28



Mesmo se o AutoRun estiver desabilitado, ainda existem explorações que aproveitam certas verdades. Claro que existem maneiras melhores de infectar uma máquina Windows. É melhor verificar unidades flash desconhecidas em hardware dedicadas a essa tarefa, que é apagada diariamente e restaurada para uma configuração conhecida, se reinicializada. - Ramhound
Para sua sugestão final, talvez você queira incluir a desconexão da rede também; se a instância do Live CD for infectada, ela poderá infectar outras máquinas na rede para uma presença mais persistente. - Scott Chamberlain
Ramhound, eu gostaria de ver exemplos das façanhas que você mencionou (presumivelmente corrigidas até agora!) Você poderia postar algumas como uma resposta? - EM0
@EM, houve um exploit de dia zero há algum tempo que se aproveitou de um vulnerabilidade em como o ícone foi exibido em um arquivo de atalho (arquivo .lnk). Apenas abrir a pasta contendo o arquivo de atalho é suficiente para acionar o código de exploração. Um hacker poderia facilmente colocar esse arquivo na raiz da unidade USB para que, quando você o abrir, o código de exploração seja executado. - tangrs
> A ÚNICA maneira de realmente ser seguro é inicializar uma distribuição Linux ao vivo, com seu disco rígido desconectado… - não, um software nocivo também pode infectar o firmware. Eles estão muito mal protegidos hoje em dia. - Sarge Borsch


O stick USB pode realmente ser um capacitor altamente carregado ... Não tenho certeza se as placas-mãe modernas têm alguma proteção contra essas surpresas, mas eu não verificaria no meu laptop. (poderia queimar todos os dispositivos, teoricamente)

Atualizar:

veja esta resposta: https://security.stackexchange.com/a/102915/28765

e vídeo dele: YouTube: USB Killer v2.0 testing.


22



Sim, eles fazem. Quase todos eles têm pequenos fusíveis reajustáveis. Eu achei isto electronics.stackexchange.com/questions/66507/…ser interessante. - Zan Lynx
Este vídeo fere minha alma. - k.stm


Alguns malwares / vírus são ativados quando abrimos uma pasta. O hacker pode usar o recurso do Windows (ou Linux com Vinho) que começam a criar um ícone / miniatura de alguns arquivos (por exemplo, arquivos .exe, .msi ou .pif, ou até mesmo pastas com um ícone de malware) ao abrir uma pasta. O hacker encontra um bug nos programas (como o programa que cria uma miniatura) para possibilitar que o malware entre em ação.

Alguns dispositivos defeituosos podem matar o seu hardware, especialmente a placa-mãe, e na maioria das vezes silenciosamente, então você pode não estar ciente disso.


6





Aparentemente, um simples dispositivo USB pode até mesmo fritar toda a placa-mãe:

Um pesquisador de segurança russo conhecido como "Dark Purple" criou um dispositivo USB   stick que contém uma carga útil incomum.

Não instala malware nem explora uma vulnerabilidade de dia zero.   Em vez disso, o stick USB personalizado envia 220 volts (tecnicamente menos   220 Volts) através das linhas de sinal da interface USB, fritando o   hardware.

https://grahamcluley.com/2015/10/usb-killer/


5