Pregunta ¿Cuál es el peligro de insertar y explorar una unidad USB que no es de confianza?


Supongamos que alguien quiere que copie algunos archivos en su memoria USB. Estoy ejecutando Windows 7 x64 completamente corregido con AutoRun desactivado (a través de la Política de grupo). Inserto la unidad USB, la abro en el Explorador de Windows y copio algunos archivos en ella. No ejecuto ni veo ninguno de los archivos existentes. ¿Qué cosas malas podrían pasar si hago esto?

¿Qué tal si hago esto en Linux (digamos, Ubuntu)?

Tenga en cuenta que estoy buscando detalles de específico riesgos (si corresponde), no "sería más seguro si no haces esto".


129


origen


Mirar una lista de directorio es poco probable que sea un riesgo. Abrir un PDF malicioso en una versión antigua no parcheada de Adobe Reader podría ser un gran riesgo. En algunos casos, incluso una vista previa de imagen o un ícono de archivo podría contener un exploit. - david25272
@ david25272, incluso mirando una lista de directorios podría ser un riesgo. - tangrs
Es un poco como entrar en un ascensor con un extraño, la mayoría de las veces estás bien, pero si el extraño es alias Hannibal Lecter ... - PatrickT
Podrías romper tu centrífuga de uranio en.wikipedia.org/wiki/Stuxnet - RyanS
@tangrs, ese es un gran ejemplo del tipo de cosa que estaba buscando. ¿Por qué no publicarlo como respuesta? - EM0


Respuestas:


De manera menos impresionante, el explorador de archivos de la GUI explorará archivos para crear miniaturas. Cualquier exploit basado en ttf, (inserte un tipo de archivo compatible con turing aquí) basado en ttf que funcione en su sistema podría iniciarse de forma pasiva cayendo el archivo y esperando a que sea escaneado por el procesador de miniaturas. La mayoría de los exploits que conozco son para Windows, sin embargo, no subestimes las actualizaciones de libjpeg.


45



Esa es una posibilidad, entonces +1. ¿Lo hace Windows Explorer (o Nautilus) aunque nunca vea miniaturas? - EM0
@EM podría suceder: las versiones recientes de explorer podrían, por ejemplo, construir miniaturas en subcarpetas para iconos de carpetas bonitas en la raíz, incluso si esas subcarpetas están configuradas para no mostrar nunca miniaturas. - Tynam
O tal vez no intente mostrar miniaturas, sino más bien algún tipo de metadato - That Brazilian Guy
Esto no es específico de un sistema de archivos montado en USB. Si un buscador de archivos tiene una vulnerabilidad, podría ser provocado por archivos descargados a su computadora a través de otros medios también, como archivos adjuntos de correo electrónico o descargas a través del navegador. - HRJ


Lo peor que puede suceder está limitado solo por la imaginación de su atacante. Si vas a estar paranoico, conectar físicamente casi cualquier dispositivo a tu sistema significa que puede verse comprometido. Doblemente así si ese dispositivo se parece a una memoria USB simple.

¿Qué pasa si es esto? enter image description here

En la foto de arriba está el infame Pato de caucho USB, un pequeño dispositivo que se parece a una unidad de lápiz normal, pero puede entregar pulsaciones de teclas arbitrarias a su computadora. Básicamente, puede hacer lo que quiera porque se registra como un teclado y luego ingresa la secuencia de teclas que desee. Con ese tipo de acceso, puede hacer todo tipo de cosas desagradables (y ese es solo el primer golpe que encontré en Google). La cosa es secuenciable por lo que el cielo es el límite.


185



Bonito, +1! En el escenario que tenía en mente, se sabe que el dispositivo USB es un dispositivo de almacenamiento real y confío en que la persona que me lo da no lo haga con malevolencia infectar mi computadora. (Estoy más que nada preocupado de que ellos mismos sean víctimas de un virus). Pero este es un ataque interesante que no había considerado. Supongo que con un emulador de teclado así probablemente notaría algo extraño, pero podría haber formas más sigilosas ... - EM0
Yo apruebo esta respuesta. Hace pensar al OP :) - steve
+1 "Lo peor que puede pasar está limitado solo por la imaginación de tu atacante". - Newb
Hak5: ¡parece legítimo! - david25272
Aparentemente, el protocolo de conexión USB es bastante similar al anterior protocolo de puerto PS / 2, razón por la cual USB se usa comúnmente para ratones y teclados. (Podría estar equivocado, por supuesto, estoy extrayendo esto de mi propia memoria, que presenta principalmente compresión con pérdida) - Pharap


Otro peligro es que Linux intente montar cualquier cosa (broma suprimida aquí).

Algunos de los controladores del sistema de archivos no están libres de errores. Lo que significa que un hacker podría encontrar un error en, digamos, squashfs, minix, befs, cramfs o udf. Entonces ese hacker podría crear un sistema de archivos que aproveche ese error para hacerse cargo de un kernel de Linux y ponerlo en una unidad USB.

En teoría, esto también podría pasarle a Windows. Un error en el controlador FAT o NTFS o CDFS o UDF podría abrir Windows a una toma de control.


37



+1 Eso sería un exploit limpio y completamente posible - steve
Hay un nivel completo más abajo. Los sistemas de archivos no solo tienen errores, sino toda la pila USB tiene errores, y mucho de eso se ejecuta en el kernel. - Fake Name
E incluso el firmware de su controlador USB puede tener debilidades que pueden ser explotadas. Ha habido un exploit de estrellarse en Windows con una memoria USB simplemente en nivel de enumeración del dispositivo. - sylvainulg
En cuanto a "Linux tratando de montar cualquier cosa", este no es el comportamiento predeterminado del sistema, pero está vinculado a su explorador de archivos proactivamente tratando de montar. Estoy seguro de que las páginas de spelunking podrían revelar cómo desactivarlo y volver a "montar solo a pedido". - sylvainulg
Tanto Linux como Windows intentan montar todo. La única diferencia es que Linux podría tener éxito. Esto no es una debilidad del sistema sino una fortaleza. - terdon


Existen varios paquetes de seguridad que me permiten configurar un script de ejecución automática para Linux o Windows, ejecutando automáticamente mi malware tan pronto como lo conecte. ¡Lo mejor es no enchufar dispositivos en los que no confíe!

Tenga en cuenta que puedo adjuntar software malicioso a casi cualquier tipo de archivo ejecutable que desee, y para prácticamente cualquier sistema operativo. Con la ejecución automática desactivada, DEBERÍA estar seguro, pero OTRA VEZ, no confío en dispositivos de los que soy incluso un poco escéptico.

Para ver un ejemplo de lo que puede hacer esto, echa un vistazo El kit de herramientas de Ingeniero Social (SET).

La ÚNICA manera de estar realmente seguro es arrancar una distribución de Linux en vivo, con el disco duro desenchufado ... Y montar la unidad USB y echar un vistazo. Aparte de eso, estás tirando los dados.

Como se sugiere a continuación, es imprescindible que desactive la red. No ayuda si su disco duro es seguro y toda su red se ve comprometida. :)


28



Incluso si AutoRun está deshabilitado todavía hay exploits que existen que aprovechan ciertas verdades. Por supuesto, hay mejores formas de infectar una máquina con Windows. Lo mejor es escanear unidades flash desconocidas en el hardware dedecated a esa tarea, que se borra a diario, y restaurar a una configuración conocida si se reinicia. - Ramhound
Para su sugerencia final, le recomendamos que también desconecte la red; si la instancia de Live CD se infecta, podría infectar a otras máquinas en la red para tener un punto de apoyo más permanente. - Scott Chamberlain
Ramhound, me gustaría ver ejemplos de los exploits que mencionaste (¡presumiblemente parcheados ahora!) ¿Podrías publicar algunos como respuesta? - EM0
@EM, hubo un exploit de día cero hace un tiempo que aprovechó un vulnerabilidad en cómo se mostró el ícono en un archivo de acceso directo (archivo .lnk). Solo abrir la carpeta que contiene el archivo de acceso directo es suficiente para activar el código de explotación. Un pirata informático podría haber puesto fácilmente un archivo de este tipo en la raíz de la unidad USB para que, al abrirlo, se ejecute el código de explotación. - tangrs
> La ÚNICA manera de estar realmente seguro es arrancar una distribución de Linux en vivo, con el disco duro desenchufado ... - no, un software falso también puede infectar el firmware. Están muy mal protegidos hoy en día. - Sarge Borsch


La memoria USB puede ser realmente un condensador muy cargado ... No estoy seguro si las motherboards modernas tienen alguna protección contra tales sorpresas, pero no las vería en mi computadora portátil. (podría grabar todos los dispositivos, teóricamente)

Actualizar:

ver esta respuesta: https://security.stackexchange.com/a/102915/28765

y video de eso: YouTube: USB Killer v2.0 testing.


22



Ellos si. Casi todos ellos tienen pequeños fusibles reiniciables. encontré esto electronics.stackexchange.com/questions/66507/... ser algo interesante - Zan Lynx
Este video lastima mi alma - k.stm


Algunos malware / virus se activan cuando abrimos una carpeta. El hacker puede usar la función de Windows (o Linux con Vino) que comienzan a crear un icono / miniatura de algunos archivos (por ejemplo, archivos .exe, .msi o .pif, o incluso carpetas con un icono de malware) al abrir una carpeta. El hacker encuentra un error en los programas (como el programa que crea una miniatura) para que el malware pueda ponerse en acción.

Algunos dispositivos defectuosos pueden matar su hardware, especialmente la placa base, y la mayoría de las veces en silencio, por lo que puede que no te des cuenta.


6





Aparentemente, un dispositivo USB simple puede incluso freír toda la placa base:

Un investigador de seguridad ruso conocido como "Dark Purple" ha creado un USB   palo que contiene una carga útil inusual.

No instala malware ni explota una vulnerabilidad de día cero.   En cambio, la memoria USB personalizada envía 220 voltios (técnicamente menos   220 voltios) a través de las líneas de señal de la interfaz USB, friendo el   hardware.

https://grahamcluley.com/2015/10/usb-killer/


5





Lo peor que podría pasar es el infame BadBios infección. Supuestamente infecta su controlador USB Host al conectarlo a su computadora sin importar su sistema operativo. Hay una gama limitada de fabricantes de chips USB, por lo que explotarlos no es demasiado exagerado.

Por supuesto, no todos creen que BadBios es real, pero es lo peor que le puede pasar a su computadora al conectar una unidad USB.


2





Esto es más o menos cómo se vio comprometida toda la red de clasificados del Departamento de Defensa de EE. UU. Se dejó una memoria USB en el suelo en un estacionamiento fuera de un sitio DOD. Un genio lo recogió, lo introdujo y lo conectó, el espionaje moderno es muy aburrido. Me refiero a una memoria USB en un aparcamiento, ¡devuelve 007!

http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain


1