Un chercheur de sécurité nommé Rob Fuller a découvert une méthode d'attaque unique qui peut être utilisé pour voler des informations d'identification à partir d'un ordinateur verrouillé. Ce piraté œuvres dans Windows et Mac PC.
Un chercheur en sécurité a trouvé un moyen unique qui peut être utilisé pour déverrouiller ou de voler des informations d'identification à partir d'un ordinateur verrouillé (mais, connecté) et un autre dieu nouvelles en elle a travaillé sur Windows et Apple Mac OS X système de Microsoft.Un expert en sécurité Rob Fuller dans son blog démontré et expliqué comment exploiter un dispositif à base de SoC-USB pour la transformer en un titre-renifleur qui peut être utilisé même sur un ordinateur verrouillé ou un ordinateur portable.
Le code du firmware du dongle USB est modifiée par plus complète de telle sorte que quand il est branché à un adaptateur Ethernet, le dispositif plug-and-play USB installe et se sert de passerelle de réseau, serveur DNS, ou Web Proxy Auto-découverte Protocole (WPAD) serveur pour la machine de la victime.(Lire également: Désactiver Windows 10 Keylogger)
L'attaque est possible parce que dans presque tous les systèmes d'exploitation d'ordinateur installer automatiquement les périphériques USB Plug-and-Play même ordinateur est verrouillé.[Par exemple: lorsque vous vous connectez la souris USB avec votre ordinateur portable ou ordinateur, il se connecte automatiquement avant connexion],
"Même si un système est verrouillé, le dispositif [dongle] obtient encore installé," Fuller explique dans son blog.
"Maintenant, je crois qu'il ya des restrictions sur les types de périphériques sont autorisés à installer dans un état verrouillé sur les systèmes d'exploitation plus récents (Win10 / El Capitan), mais Ethernet / LAN est certainement sur la liste blanche."
Comment l'attaque fonctionne?
Vous devez vous demander pourquoi votre ordinateur partage automatiquement les informations d'identification de Windows avec un périphérique connecté?
Ceci est parce que Microsoft se comporte par défaut des services de résolution de nom de sa fenêtre, qui peut être abusé de voler l'authentification de vos informations d'identification.Responder est le logiciel qui modifie l'adaptateur USB Ethernet plug-and-play, à travers lequel le réseau peut être spoofé pour intercepter les informations d'identification hachées puis il est stocké dans une base de données SQLite.Maintenant, les informations d'identification hackées qui sont stockées dans la base de données SQLite nous collectées par l'outil d'exploitation du réseau et peuvent ensuite être facilement par brute forcée pour obtenir des mots de passe en texte clair.
Apparemment, tous les besoins de l'attaquant est l'accès physique à un ordinateur cible pour mener cette attaque, par l'acquisition de l'accès physique, il peut brancher l'adaptateur USB Ethernet nuisibles.Cependant, il dit que le temps moyen nécessaire pour une attaque réussie est de seulement 13 secondes.
Source.: