Cómo obtener credenciales de Windows y Mac OS con un dispositivo USB especial

usb-623x432

Las posibilidades que a día de hoy puede ofrecer un simple pendrive a un atacante o a un pentester siguen aumentando. Además de poderse usar como vector de ataque dejándolas abandonadas en lugares públicos esperando que algún incauto las recoja y ejecute alguno de los ficheros maliciosos almacenados, también pueden usarse para simular un teclado e introducir comandos en un sistema sin levantar sospechas.

De hecho, hemos visto incluso como cualquier dispositivo con conector USB puede ser utilizado como vector de ataque, modificando su funcionalidad inicial, tal y como hacía Bad USB, y permitiendo realizar ataques de lo más variados en los sistemas a los que se conecten.

Un dispositivo USB que no es lo que parece

Durante esta semana se han hecho pública una investigación realizada por Rob Fuller donde ha mostrado un nuevo ataque que permite robar credenciales desde un sistema Windows o Mac bloqueado en el que el usuario se hubiese autenticado. En teoría este ataque también podría funcionar en sistemas Linux, aunque este investigador no ha podido comprobarlo.

Para poder realizar este ataque el investigador recomienda dos dispositivos USB especiales como son el USB Armory y Hack5 Turtle. Ambos dispositivos cuentan con capacidades Ethernet, y también permiten cargar firmwares modificados para ejecutar software que configura el dispositivo USB como el Gateway de la red y servidores WPAD en el sistema al que se encuentra conectado.

La base del ataque se fundamenta en una característica común a varios sistemas. Y es que los dispositivos USB que se conectan a un sistema suelen activar las funcionalidades Plug-and-play, aunque el sistema esté bloqueado. El investigador cree que existen restricciones acerca del tipo de dispositivos que se pueden instalar estando bloqueado el sistema en sistemas operativos modernos como Windows 10 o El Capitan, aunque aquellos con funcionalidades  Ethernet/LAN seguro que están permitidos.

Obteniendo credenciales de sistemas bloqueados

En la mayoría de sistemas operativos modernos, cuando introducimos un dispositivo USB se proporciona las credenciales del usuario local para que este dispositivo pueda instalarse sin problemas. Es aquí cuando entra en acción el dispositivo modificado de Fuller, interceptando el hash de estas credenciales y almacenándolo en una base de datos SQLite.

Además, este investigador ha modificado el dispositivo para que, cuando ya tenga guardadas estas credenciales se active una luz LED que avise al usuario que lo haya introducido. Según la demostración y la información proporcionada por el propio investigador, se pueden obtener las credenciales en, aproximadamente 13 segundos, lo que lo hace bastante efectivo siempre que se disponga de acceso físico al ordenador que se quiera comprometer.

En el siguiente vídeo se puede observar una demostración del funcionamiento, y aunque se muestre, este dispositivo no permite el acceso al escritorio, puesto que antes se tiene que averiguar la contraseña a partir del hash.

El hecho de tener que conseguir la contraseña a partir del hash obtenido usando este dispositivo complica un poco el que se puedan hacer ataques de forma rápida accediendo a ordenadores bloqueados con contraseña. Además se ha de tener en cuenta de que solo funciona cuando el usuario se haya autenticado en el sistema, no cuando el ordenador acaba de iniciarse, se encuentra en una red corporativa y pide una contraseña de acceso al dominio.

Teniendo en cuenta esas limitaciones, este ataque  se ha comprobado que funciona en funciona en Windows 98 SE, Windows 2000 SP4, Windows XP SP3, Windows 7 SP1, Windows 10 (Enterprise y Home), Mac OS X El Capitan, y Mac OS X Mavericks.

Conclusión

El desarrollo de una herramienta como la que acabamos de ver demuestra una vez más que el acceso físico a un sistema pone en serio peligro su seguridad. Por ello es importante no solo proteger la parte lógica de los sistemas si no también instaurar políticas de control de acceso eficientes para evitar ataques de este tipo tanto de personal externo como de la propia empresa.

Josep Albors

El troyano Mokes confirma su capacidad multiplataforma con una nueva variante para Mac OSX