Bagaimana mencegah hack sethc.exe?

19

Ada exploit yang memungkinkan pengguna untuk mereset kata sandi Administrator di Windows. Hal ini dilakukan dengan mem-boot dari disk perbaikan, memulai prompt perintah, dan mengganti C: \ Windows \ System32 \ sethc.exe dengan C: \ Windows \ System32 \ cmd.exe.

Ketika kombinasi tombol lengket ditekan pada layar masuk, pengguna mendapatkan akses ke prompt perintah dengan hak istimewa Administrator.

Ini adalah lubang keamanan besar, membuat OS rentan terhadap siapa pun yang memiliki pengetahuan IT sekecil apa pun. Itu hampir membuat Anda ingin beralih ke Mac atau Linux. bagaimana mencegahnya?

Yesus Pedro
sumber
3
Saya benar-benar tidak mengerti apa masalahnya. Ini tidak seperti tidak ada utilitas di luar sana yang dapat mengatur ulang kata sandi admin (seperti yang ada di Hiren BCD atau Win7Live). Jika penyerang dapat mengubah file sethc maka dia dapat menggunakan beberapa utilitas reset ...
EliadTech
27
Jika seseorang memiliki akses fisik ke komputer Anda, Anda dapat mencium selamat tinggal keamanan.
Bert
2
Ini hampir membuat Anda ingin beralih ke linux, di mana jika Anda mem-boot disk perbaikan, Anda dapat mengubah kata sandi administrator tanpa perlu semua peretasan ...
pqnet

Jawaban:

16

Untuk mencegah penyerang mem-boot dari disk perbaikan dan menggunakannya untuk mendapatkan akses ke sistem Anda, ada beberapa langkah yang harus Anda ambil. Dalam urutan kepentingan:

  • Gunakan pengaturan BIOS / UEFI Anda untuk mencegah booting dari media yang dapat dipindahkan, atau meminta kata sandi untuk mem-boot dari media eksternal. Prosedur untuk ini bervariasi dari motherboard ke motherboard.
  • Kunci menara Anda. Biasanya ada cara untuk mereset pengaturan BIOS / UEFI (termasuk kata sandi) jika penyerang mendapatkan akses fisik ke motherboard, jadi Anda harus mencegahnya. Seberapa jauh Anda bergantung pada faktor-faktor seperti pentingnya data yang Anda lindungi, seberapa berdedikasi penyerang Anda, jenis keamanan fisik yang mengarah ke stasiun kerja Anda (mis. Apakah itu di kantor yang hanya dapat diakses oleh rekan kerja atau apakah itu di daerah terpencil yang terbuka untuk umum), dan berapa banyak waktu yang harus dilakukan penyerang biasa untuk menghancurkan keamanan fisik Anda tanpa terlihat.
  • Gunakan semacam enkripsi disk seperti BitLocker atau TrueCrypt. Meskipun ini tidak akan menghentikan penyerang yang berdedikasi untuk memformat ulang sistem Anda jika mereka bisa mendapatkan akses fisik dan mengatur ulang kata sandi BIOS Anda, itu akan menghentikan hampir semua orang untuk mendapatkan akses ke sistem Anda (dengan asumsi Anda menjaga kunci Anda dengan baik dan penyerang Anda tidak memiliki akses ke backdoors).
eToThePiIPower
sumber
8

Masalahnya di sini adalah akses fisik ke mesin. Nonaktifkan kemampuan untuk boot dari CD / USB dan kunci BIOS dengan kata sandi. Namun, ini tidak akan mencegah seseorang dengan waktu yang cukup sendirian dengan mesin membobolnya dengan berbagai metode.

Michael Frank
sumber
2
+1 Salah satu dari banyak ... Anda mengendarai fencepost, penyerang berjalan mengelilinginya.
Fiasco Labs
Jika Anda memiliki akses fisik, seseorang biasanya dapat mereset pengaturan BIOS / UEFI ke default pabrik.
Scolytus
5

SETHC.exe juga dapat diganti dengan salinan explorer.exe (atau .exe lainnya) yang memberikan akses tingkat sistem penuh dari layar masuk juga. Bukan untuk mengulang yang lain, tetapi jika Anda berbicara tentang keamanan server, saya akan berpikir bahwa sejumlah keamanan fisik sudah ada. Berapa banyak, tergantung pada risiko yang dapat diterima yang digariskan oleh organisasi Anda.

Saya memposting ini untuk mungkin pergi ke rute yang berbeda. Jika Anda khawatir bahwa komunitas pengguna di organisasi Anda dapat atau akan melakukan ini ke workstation Windows 7 (seperti yang Anda jelaskan dalam pertanyaan) satu-satunya cara untuk menghindari jenis serangan ini adalah dengan "memindahkan" komputasi ke dalam pusat data. Ini dapat dicapai dengan sejumlah teknologi. Saya akan memilih produk Citrix untuk meninjau proses secara singkat, meskipun banyak vendor lain yang menawarkan penawaran serupa. Menggunakan XenApp, XenDesktop, Layanan Pembuatan Mesin, atau Layanan Provisioning Anda dapat "memindahkan" workstation ke pusat data. Pada titik ini (selama pusat data Anda aman) Anda memiliki keamanan fisik atas workstation. Anda bisa menggunakan thin client, atau workstation yang sepenuhnya dapat mengakses desktop yang dihosting dari pusat data. Dalam salah satu skenario ini Anda akan memerlukan beberapa hipvervisor sebagai pekerja keras. Idenya adalah bahwa keadaan keamanan mesin fisik pengguna adalah risiko sangat kecil terlepas dari apakah itu dikompromikan atau tidak. Pada dasarnya, workstation fisik hanya memiliki akses ke sumber daya yang sangat terbatas (AD, DHCP, DNS, dll.). Dengan skenario ini, semua data, dan semua akses diberikan hanya ke sumber daya virtual di DC, dan bahkan jika workstation atau thin client dikompromikan, tidak ada keuntungan yang dapat diperoleh dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin. Idenya adalah bahwa keadaan keamanan mesin fisik pengguna adalah risiko sangat kecil terlepas dari apakah itu dikompromikan atau tidak. Pada dasarnya, workstation fisik hanya memiliki akses ke sumber daya yang sangat terbatas (AD, DHCP, DNS, dll.). Dengan skenario ini, semua data, dan semua akses diberikan hanya ke sumber daya virtual di DC, dan bahkan jika workstation atau thin client dikompromikan, tidak ada keuntungan yang dapat diperoleh dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin. Idenya adalah bahwa keadaan keamanan mesin fisik pengguna adalah risiko sangat kecil terlepas dari apakah itu dikompromikan atau tidak. Pada dasarnya, workstation fisik hanya memiliki akses ke sumber daya yang sangat terbatas (AD, DHCP, DNS, dll.). Dengan skenario ini, semua data, dan semua akses diberikan hanya ke sumber daya virtual di DC, dan bahkan jika workstation atau thin client dikompromikan, tidak ada keuntungan yang dapat diperoleh dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin. dan bahkan jika workstation atau thin client terganggu, tidak ada keuntungan yang bisa didapat dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin. dan bahkan jika workstation atau thin client terganggu, tidak ada keuntungan yang bisa didapat dari titik akhir itu. Jenis pengaturan ini lebih untuk perusahaan besar, atau lingkungan keamanan tinggi. Hanya berpikir saya akan membuang ini sebagai jawaban yang mungkin.

MiTePython
sumber
Saya setup hanya lingkungan seperti itu dan kacau. 2 masalah yang tidak dapat saya pecahkan: pengguna memecahkan kata sandi admin lokal pada thin client dan karena TC berada di bawah Direktori Aktif pada server, admin lokal membagikan folder dan memetakannya dalam VM-nya dan mentransfernya. Masalah kedua: pengguna menggunakan perekam layar sederhana untuk mengeluarkan data saat memulai RDP.
AlphaGoku
mengapa folder dibagikan oleh admin lokal (bukan admin server) pada mesin xp / win 7 dalam domain server, dapat berbagi folder yang dapat dipetakan pada VM di server dalam Hyper-V
AlphaGoku
3

Nonaktifkan saja tombol lengket yang meminta agar tidak dijalankan saat Anda menekan shift 5 kali. Kemudian ketika CMD diganti namanya menjadi SETHC, itu tidak akan muncul. Terpecahkan.

Win7:

  1. Mulai> ketik "ubah cara kerja keyboard Anda"
  2. Klik opsi pertama
  3. Klik atur kunci tempel
  4. Hapus centang nyalakan kunci lengket ketika shift ditekan 5 kali.

Anda benar-benar tidak perlu memiliki cakram Windows atau gambar pada USB baik untuk membuat karya mengeksploitasi. Saya mencoba mengatakan bahwa menonaktifkan PC dari mulai dari drive yang berbeda dari drive sistem internal tidak akan mencegah eksploitasi dilakukan. Penanganan masalah ini dilakukan dengan mengatur ulang komputer saat komputer dinyalakan dan menggunakan perbaikan startup untuk mendapatkan akses ke sistem file untuk mengubah nama CMD menjadi SETHC. Tentu, ini sulit pada disk drive, tetapi jika Anda membobol mesin orang lain, Anda tidak terlalu peduli.

pengguna322263
sumber