Question Quel est le danger d’insertion et de navigation sur une clé USB non fiable?


Supposons que quelqu'un veuille copier certains fichiers sur leur clé USB. J'exécute Windows 7 x64 entièrement corrigé avec AutoRun désactivé (via la stratégie de groupe). J'insère le lecteur USB, l'ouvre dans l'Explorateur Windows et y copie des fichiers. Je n'exécute ni ne visualise aucun des fichiers existants. Quelles mauvaises choses pourraient arriver si je le faisais?

Qu'en est-il si je le fais sous Linux (disons, Ubuntu)?

S'il vous plaît noter que je cherche détails de spécifique risques (le cas échéant), pas "il serait plus sûr si vous ne faites pas cela".


129
2018-01-30 18:44


origine


Regarder une liste de répertoire est peu susceptible d'être un risque. L'ouverture d'un fichier PDF malveillant dans une ancienne version non corrigée du lecteur Adobe peut représenter un risque important. Dans certains cas, même un aperçu de l'image ou une icône de fichier pourrait contenir un exploit. - david25272
@ david25272, même en regardant une liste de répertoires pourrait être un risque. - tangrs
C'est un peu comme monter dans un ascenseur avec un étranger, la plupart du temps, ça va, mais si l’étranger est alias Hannibal Lecter ... - PatrickT
Vous pourriez briser votre centrifugeuse d'uranium en.wikipedia.org/wiki/Stuxnet - RyanS
@tangrs, c'est un excellent exemple du genre de chose que je cherchais. Pourquoi ne pas le poster comme réponse? - EM0


Réponses:


De manière moins impressionnante, votre navigateur de fichiers GUI explore généralement les fichiers pour créer des vignettes. Tout exploit basé sur pdf, basé sur ttf, (type de fichier compatible avec l'insertion de turing ici) qui fonctionne sur votre système pourrait potentiellement être lancé passivement en déposant le fichier et en attendant qu'il soit analysé par le moteur de rendu. La plupart des exploits que je connais sont pour Windows, cependant, mais ne sous-estimez pas les mises à jour pour libjpeg.


45
2018-01-31 16:02



C'est une possibilité, donc +1. Est-ce que Windows Explorer (ou Nautilus) le fait même si vous ne visualisez jamais les vignettes? - EM0
@EM Pourrait arriver - les versions récentes de l'explorateur peuvent, par exemple, construire des vignettes dans des sous-dossiers pour les icônes de dossiers jolies à la racine, même si ces sous-dossiers sont définis pour ne jamais afficher de vignettes. - Tynam
Ou peut-être pas essayer d'afficher des vignettes, mais plutôt une sorte de métadonnées - That Brazilian Guy
Ce n'est pas spécifique à un système de fichiers monté en USB. Si un navigateur de fichiers présente une vulnérabilité, il peut être déclenché par des fichiers téléchargés sur votre ordinateur par d'autres moyens, tels que des pièces jointes ou des téléchargements via un navigateur. - HRJ


Le pire qui puisse arriver est limité uniquement par l'imagination de votre attaquant. Si vous êtes paranoïaque, connecter physiquement à peu près n'importe quel périphérique à votre système signifie qu'il peut être compromis. Doublement si cet appareil ressemble à une simple clé USB.

Et si c'était ça? enter image description here

La photo ci-dessus est la tristement célèbre USB en caoutchouc canard, un petit appareil qui ressemble à une clé USB normale, mais qui peut transmettre des frappes arbitraires à votre ordinateur. Fondamentalement, il peut faire ce qu’il veut, car il s’enregistre lui-même en tant que clavier et entre ensuite la séquence de touches souhaitée. Avec ce type d'accès, il peut faire toutes sortes de choses méchantes (et ce n'est que le premier hit que j'ai trouvé sur Google). La chose est scriptable alors le ciel est la limite.


185
2018-01-30 19:45



Nice, +1! Dans le scénario que je pensais, la clé USB est connue pour être un périphérique de stockage réel et je fais confiance à la personne qui me la donne pour ne pas malicieusement infecter mon ordinateur. (Je crains surtout qu'ils ne soient eux-mêmes victimes d'un virus.) Mais il s'agit d'une attaque intéressante que je n'avais pas envisagée. Je suppose qu'avec un émulateur de clavier comme celui-ci, je remarquerais probablement quelque chose de bizarre, mais il pourrait y avoir des moyens plus furtifs ... - EM0
J'approuve cette réponse. Rend le PO pense :) - steve
+1 "Le pire qui puisse arriver est limité par l'imagination de votre attaquant." - Newb
Hak5 - semble légitime! - david25272
Apparemment, le protocole de connexion USB est assez similaire au protocole de port PS / 2, ce qui explique pourquoi le port USB est couramment utilisé pour les souris et les claviers. (Je peux me tromper, bien sûr - je le détourne de ma propre mémoire, ce qui comporte principalement une compression avec perte) - Pharap


Un autre danger est que Linux va essayer de monter quelque chose (blague supprimée ici).

Certains pilotes du système de fichiers ne sont pas exempts de bogues. Ce qui signifie qu'un pirate pourrait potentiellement trouver un bogue dans, par exemple, squashfs, minix, befs, cramfs ou udf. Ensuite, ce pirate pourrait créer un système de fichiers qui exploite ce bogue pour remplacer un noyau Linux et le placer sur un lecteur USB.

Cela pourrait théoriquement arriver à Windows aussi. Un bogue dans le pilote FAT ou NTFS ou CDFS ou UDF pourrait ouvrir Windows à une prise de contrôle.


37
2018-01-31 00:28



+1 Ce serait un exploit soigné et tout à fait possible - steve
Il y a tout un niveau plus bas. Non seulement les systèmes de fichiers ont des bogues, mais toute la pile USB a des bugs, et beaucoup de cela s'exécute dans le noyau. - Fake Name
Et même le micrologiciel de votre contrôleur USB peut présenter des faiblesses qui pourraient être exploitées. Il y a eu un exploit de planter Windows avec une clé USB simplement à niveau d'énumération de l'appareil. - sylvainulg
En ce qui concerne "Linux essayant de monter quelque chose", ce n'est pas le comportement par défaut du système, mais il est lié à votre explorateur de fichiers en essayant de monter de manière proactive. Je suis sûr que les pages de manuel spelunking pourraient révéler comment désactiver cette fonctionnalité et revenir à "montage uniquement à la demande". - sylvainulg
Linux et Windows essaient tous deux de monter tout. La seule différence est que Linux peut réellement réussir. Ce n'est pas une faiblesse du système mais une force. - terdon


Il existe plusieurs packages de sécurité qui me permettent de configurer un script autorun pour Linux ou Windows, exécutant automatiquement mes logiciels malveillants dès que vous le branchez. Il est préférable de ne pas brancher des périphériques auxquels vous ne faites pas confiance!

Gardez à l'esprit, je peux attacher des logiciels malveillants à peu près n'importe quel type d'exécutable que je veux, et à peu près n'importe quel système d'exploitation. Avec autorun désactivé, vous devriez être en sécurité, mais encore une fois, je ne fais pas confiance à des dispositifs sur lesquels je suis même un peu sceptique.

Pour un exemple de ce que vous pouvez faire, consultez La boîte à outils d'ingénieur social (SET).

Le SEUL moyen d’être vraiment sûr est de démarrer une distribution Linux en direct, avec votre disque dur débranché. Et monter le lecteur USB et jeter un oeil. Sinon, vous lancez les dés.

Comme suggéré ci-dessous, il est indispensable que vous désactiviez la mise en réseau. Cela n’aide pas si votre disque dur est en sécurité et que l’ensemble du réseau est compromis. :)


28
2018-01-30 18:50



Même si AutoRun est désactivé, il existe encore des exploits qui tirent parti de certaines vérités. Bien sûr, il existe de meilleurs moyens d’infecter une machine Windows. Il est préférable d'analyser les lecteurs flash inconnus sur du matériel dédié à cette tâche, qui est effacé chaque jour et restauré dans une configuration connue en cas de redémarrage. - Ramhound
Pour votre suggestion finale, vous pouvez également inclure la déconnexion du réseau, si l'instance Live CD est infectée, elle risque d'infecter d'autres machines du réseau pour un maintien plus durable. - Scott Chamberlain
Ramhound, je voudrais voir des exemples des exploits que vous avez mentionnés (vraisemblablement patché maintenant!) Pouvez-vous en poster comme réponse? - EM0
@EM, il y a eu un exploit de zéro jour il y a quelque temps qui a profité d'un vulnérabilité dans l'affichage de l'icône dans un fichier de raccourci (fichier .lnk). Il suffit d'ouvrir le dossier contenant le fichier de raccourci pour déclencher le code d'exploitation. Un pirate pourrait facilement mettre un tel fichier à la racine de la clé USB, donc lorsque vous l'ouvrez, le code d'exploitation sera exécuté. - tangrs
> Le SEUL moyen de réellement être en sécurité est de démarrer une distribution Linux en direct, avec votre disque dur débranché ... - un logiciel malveillant peut également infecter le firmware. Ils sont très mal protégés de nos jours. - Sarge Borsch


La clé USB peut en fait être un condensateur très chargé ... Je ne suis pas sûr que les cartes mères modernes soient protégées contre de telles surprises, mais je ne les vérifierais pas sur mon ordinateur portable. (il pourrait théoriquement brûler tous les appareils)

Mettre à jour:

voir cette réponse: https://security.stackexchange.com/a/102915/28765

et vidéo de celui-ci: YouTube: USB Killer v2.0 testing.


22
2018-01-31 16:08



Oui ils le font Presque tous ont de petits fusibles réarmables. j'ai trouvé ça electronics.stackexchange.com/questions/66507/...être assez intéressant. - Zan Lynx
Cette vidéo fait mal à mon âme. - k.stm


Certains logiciels malveillants / virus sont activés lorsque nous ouvrons un dossier. Le pirate peut utiliser la fonctionnalité de Windows (ou Linux avec Du vin) qui commencent à faire une icône / vignette de certains fichiers (par exemple des fichiers .exe, .msi ou .pif, ou même des dossiers comportant une icône de logiciel malveillant) lors de l’ouverture d’un dossier. Le pirate trouve un bogue dans les programmes (comme le programme qui crée une vignette) pour permettre aux logiciels malveillants d'entrer en action.

Certains appareils défectueux peuvent tuer votre Matériel, en particulier la carte mère, et la plupart du temps en silence, de sorte que vous ne pouvez pas en avoir conscience.


6
2018-01-31 09:25





Apparemment, un simple périphérique USB peut même frire la carte mère entière:

Un chercheur en sécurité russe connu sous le nom de "Dark Purple" a créé une clé USB.   bâton qui contient une charge utile inhabituelle.

Il n'installe pas de logiciels malveillants ni n'exploite une vulnérabilité de type "jour zéro".   Au lieu de cela, la clé USB personnalisée envoie 220 volts (techniquement moins   220 volts) via les lignes de signal de l’interface USB,   Matériel.

https://grahamcluley.com/2015/10/usb-killer/


5
2017-10-14 19:58