Làm thế nào để ngăn chặn hack sethc.exe?


19

Có một khai thác cho phép người dùng đặt lại mật khẩu Quản trị viên trên Windows. Nó được thực hiện bằng cách khởi động từ đĩa sửa chữa, bắt đầu nhắc lệnh và thay thế C: \ Windows \ System32 \ sethc.exe bằng C: \ Windows \ System32 \ cmd.exe.

Khi tổ hợp phím dính được nhấn ở màn hình đăng nhập, người dùng sẽ có quyền truy cập vào dấu nhắc lệnh với đặc quyền Quản trị viên.

Đây là một lỗ hổng bảo mật rất lớn, khiến HĐH dễ bị tổn thương với bất kỳ ai dù có kiến ​​thức CNTT nhỏ nhất. Nó gần như khiến bạn muốn chuyển sang Mac hoặc Linux. nó có thể được phòng ngừa như thế nào?


3
Tôi thực sự không hiểu những gì khó hiểu về nó. Không giống như không có các tiện ích ngoài đó có thể đặt lại mật khẩu quản trị viên (như các mật khẩu trên Hiren's BCD hoặc Win7Live). Nếu kẻ tấn công có thể thay đổi tệp sethc thì anh ta có thể sử dụng một số tiện ích thiết lập lại ...
EliadTech

27
Nếu ai đó có quyền truy cập vật lý vào máy tính của bạn, bạn có thể hôn tạm biệt bảo mật.
Bert

2
Nó gần như khiến bạn muốn chuyển sang linux, trong đó nếu bạn khởi động đĩa sửa chữa, bạn chỉ cần thay đổi mật khẩu quản trị viên mà không cần phải hack ...
pqnet

Câu trả lời:


16

Để ngăn kẻ tấn công khởi động từ đĩa sửa chữa và sử dụng nó để có quyền truy cập vào hệ thống của bạn, có một số bước bạn nên thực hiện. Theo thứ tự quan trọng:

  • Sử dụng cài đặt BIOS / UEFI của bạn để ngăn khởi động từ phương tiện lưu động hoặc yêu cầu mật khẩu để khởi động từ phương tiện bên ngoài. Thủ tục này thay đổi từ bo mạch chủ đến bo mạch chủ.
  • Khóa chặt tháp của bạn. Thường có một cách để thiết lập lại cài đặt BIOS / UEFI (bao gồm cả mật khẩu) nếu kẻ tấn công có quyền truy cập vật lý vào bo mạch chủ, vì vậy bạn sẽ muốn ngăn chặn điều này. Bạn đi được bao xa tùy thuộc vào các yếu tố như tầm quan trọng của dữ liệu bạn bảo vệ, mức độ chuyên dụng của kẻ tấn công, loại bảo mật vật lý dẫn đến máy trạm của bạn (ví dụ: trong văn phòng chỉ có đồng nghiệp mới có thể truy cập hoặc có phải trong một khu vực biệt lập mở cửa cho công chúng) và một kẻ tấn công thông thường sẽ phải phá vỡ an ninh vật lý của bạn trong bao lâu mà không bị phát hiện.
  • Sử dụng một số loại mã hóa đĩa như BitLocker hoặc TrueCrypt. Mặc dù điều này sẽ không ngăn kẻ tấn công chuyên dụng định dạng lại hệ thống của bạn nếu chúng có thể truy cập vật lý và đặt lại mật khẩu BIOS của bạn, nhưng điều đó sẽ ngăn gần như bất cứ ai truy cập vào hệ thống của bạn (giả sử bạn bảo vệ khóa của mình tốt và kẻ tấn công của bạn không có truy cập vào bất kỳ cửa hậu).

8

Vấn đề ở đây là truy cập vật lý vào máy. Vô hiệu hóa khả năng khởi động từ CD / USB và khóa BIOS bằng mật khẩu. Tuy nhiên, điều này sẽ không ngăn ai đó có đủ thời gian một mình với máy xâm nhập vào nó bằng nhiều phương pháp khác nhau.


2
+1 Một trong số nhiều ... Bạn lái một hàng rào, kẻ tấn công đi quanh nó.
Phòng thí nghiệm Fiasco

Nếu bạn có quyền truy cập vật lý, người ta thường có thể đặt lại cài đặt BIOS / UEFI về mặc định của nhà sản xuất.
Scolytus

5

SETHC.exe cũng có thể được thay thế bằng một bản sao của explorer.exe (hoặc bất kỳ .exe nào khác) cho phép truy cập toàn bộ hệ thống từ màn hình đăng nhập. Không lặp lại những người khác, nhưng nếu bạn đang nói về bảo mật máy chủ, tôi sẽ nghĩ rằng một số lượng bảo mật vật lý nhất định đã được áp dụng. Bao nhiêu, phụ thuộc vào rủi ro chấp nhận được vạch ra bởi tổ chức của bạn.

Tôi đang đăng bài này để có thể đi một con đường khác. Nếu bạn lo ngại rằng cộng đồng người dùng trong tổ chức của bạn có thể hoặc sẽ thực hiện việc này với các máy trạm Windows 7 (như bạn đã mô tả trong câu hỏi), cách duy nhất để tránh các loại tấn công này là "di chuyển" máy tính vào trung tâm dữ liệu. Điều này có thể được thực hiện với bất kỳ số lượng công nghệ. Tôi sẽ chọn các sản phẩm Citrix để tổng quan ngắn gọn về quy trình, mặc dù nhiều nhà cung cấp khác cung cấp các dịch vụ tương tự. Sử dụng XenApp, XenDesktop, Dịch vụ tạo máy hoặc Dịch vụ cung cấp, bạn có thể "di chuyển" máy trạm vào trung tâm dữ liệu. Tại thời điểm này (miễn là trung tâm dữ liệu của bạn được bảo mật), bạn có bảo mật vật lý trên máy trạm. Bạn có thể sử dụng các máy khách mỏng hoặc các máy trạm có khả năng đầy đủ để truy cập máy tính để bàn được lưu trữ từ trung tâm dữ liệu. Trong bất kỳ kịch bản nào trong số này, bạn sẽ cần một số hypvervisor như là công việc. Ý tưởng là trạng thái bảo mật của máy vật lý mà người dùng đang sử dụng có rủi ro rất nhỏ bất kể nó có bị xâm phạm hay không. Về cơ bản, các máy trạm vật lý chỉ có quyền truy cập vào một số lượng tài nguyên rất hạn chế (AD, DHCP, DNS, v.v.). Với kịch bản này, tất cả dữ liệu và tất cả quyền truy cập chỉ được cấp cho các tài nguyên ảo trong DC và ngay cả khi máy trạm hoặc máy khách mỏng bị xâm phạm, không thể có được lợi ích từ điểm cuối đó. Kiểu thiết lập này là nhiều hơn cho các doanh nghiệp lớn, hoặc môi trường bảo mật cao. Chỉ cần nghĩ rằng tôi sẽ ném nó ra như một câu trả lời có thể. Ý tưởng là trạng thái bảo mật của máy vật lý mà người dùng đang sử dụng có rủi ro rất nhỏ bất kể nó có bị xâm phạm hay không. Về cơ bản, các máy trạm vật lý chỉ có quyền truy cập vào một số lượng tài nguyên rất hạn chế (AD, DHCP, DNS, v.v.). Với kịch bản này, tất cả dữ liệu và tất cả quyền truy cập chỉ được cấp cho các tài nguyên ảo trong DC và ngay cả khi máy trạm hoặc máy khách mỏng bị xâm phạm, không thể có được lợi ích từ điểm cuối đó. Kiểu thiết lập này là nhiều hơn cho các doanh nghiệp lớn, hoặc môi trường bảo mật cao. Chỉ cần nghĩ rằng tôi sẽ ném nó ra như một câu trả lời có thể. Ý tưởng là trạng thái bảo mật của máy vật lý mà người dùng đang sử dụng có rủi ro rất nhỏ bất kể nó có bị xâm phạm hay không. Về cơ bản, các máy trạm vật lý chỉ có quyền truy cập vào một số lượng tài nguyên rất hạn chế (AD, DHCP, DNS, v.v.). Với kịch bản này, tất cả dữ liệu và tất cả quyền truy cập chỉ được cấp cho các tài nguyên ảo trong DC và ngay cả khi máy trạm hoặc máy khách mỏng bị xâm phạm, không thể có được lợi ích từ điểm cuối đó. Kiểu thiết lập này là nhiều hơn cho các doanh nghiệp lớn, hoặc môi trường bảo mật cao. Chỉ cần nghĩ rằng tôi sẽ ném nó ra như một câu trả lời có thể. và ngay cả khi máy trạm hoặc máy khách mỏng bị xâm phạm, không thể đạt được lợi ích nào từ điểm cuối đó. Kiểu thiết lập này là nhiều hơn cho các doanh nghiệp lớn, hoặc môi trường bảo mật cao. Chỉ cần nghĩ rằng tôi sẽ ném nó ra như một câu trả lời có thể. và ngay cả khi máy trạm hoặc máy khách mỏng bị xâm phạm, không thể đạt được lợi ích nào từ điểm cuối đó. Kiểu thiết lập này là nhiều hơn cho các doanh nghiệp lớn, hoặc môi trường bảo mật cao. Chỉ cần nghĩ rằng tôi sẽ ném nó ra như một câu trả lời có thể.


Tôi chỉ thiết lập một môi trường như vậy và bị vặn. 2 vấn đề tôi không thể giải quyết: người dùng bẻ khóa mật khẩu quản trị viên cục bộ trên máy khách mỏng và vì TC nằm trong Active Directory trên máy chủ, quản trị viên cục bộ chia sẻ một thư mục và ánh xạ nó trong VM của anh ta và chuyển nó ra. Vấn đề thứ hai: người dùng sử dụng trình ghi màn hình đơn giản để lấy dữ liệu ra trong khi khởi tạo RDP.
AlphaGoku

tại sao các thư mục được chia sẻ bởi quản trị viên cục bộ (không phải quản trị viên máy chủ) trên máy xp / win 7 trong miền máy chủ, có thể chia sẻ các thư mục có thể được ánh xạ trên máy ảo trên máy chủ trong Hyper-V
AlphaGoku

3

Chỉ cần vô hiệu hóa dấu nhắc phím dính khi chạy khi bạn nhấn shift 5 lần. Sau đó, khi CMD được đổi tên thành SETHC, nó sẽ không bật lên. Giải quyết.

Win7:

  1. Bắt đầu> gõ "thay đổi cách bàn phím của bạn hoạt động"
  2. Nhấp vào tùy chọn đầu tiên
  3. Bấm vào thiết lập phím dính
  4. Bỏ chọn bật phím dính khi nhấn phím shift 5 lần.

Bạn thực sự không cần phải có đĩa Windows hoặc hình ảnh trên USB để khai thác. Tôi đang cố gắng nói rằng việc vô hiệu hóa PC bắt đầu từ một ổ đĩa khác với ổ đĩa hệ thống nội bộ sẽ không ngăn cản việc khai thác được thực hiện. Cách giải quyết này được thực hiện bằng cách đặt lại máy tính khi máy khởi động và sử dụng sửa chữa khởi động để có quyền truy cập vào hệ thống tệp để đổi tên CMD thành SETHC. Chắc chắn, nó rất khó trên ổ đĩa, nhưng nếu bạn xâm nhập vào máy của người khác, bạn không thực sự quan tâm.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.