Уязвимость Windows позволяет с помощью флеш-карты взламывать систему хранения паролей.
В
очередном выпуске сайта хакерских видеоподкастов Hak5
продемонстрирована серьезная уязвимость функций автозапуска и
управления локальной сетью Windows. USB-модуль, подключенный к
компьютеру, позволил за несколько секунд создать в системе «черный ход»
и подобрать пароль доступа.
Инструмент, представленный в
видеопрограмме, назван «USB-инструмент мгновенного восстановления
пароля», или «USB Switchblade». Основная проблема в системе
аутентификации Windows — использование слабого хэша пароля LAN Manager
(LM), вычисленного по алгоритму DES. Проблема не в самом
криптоалгоритме, а в его реализации. Пароль переводится в верхний
регистр (при использовании букв получаем 26 вариантов вместо 52), затем
— пароль дополняется или обрезается до 14 символов, делится пополам, и
уже от этих половинок создаются два 8-символьных хэша по алгоритму DES.
Эти 16 символов и хранятся в качестве хэша LM. То есть, система
заведомо упрощает для взломщика процесс подбора, сначала сужая
количество вариантов, а затем разделяя пароль пополам.
Для кражи
пароля был применен флеш-диск USB, в котором реализована технология от
компании U3 LLC, созданная совместно с Sandisk и M-Systems. Особенность
этой технологии в том, что часть диска выступает в качестве
виртуального CD-ROM-привода. Если разместить там файл автозапуска, то
при подключении диска через USB Windows запустит этот файл. При
демонстрации уязвимости использовался диск SanDisk Cruser Micro USB с
технологией U3. На диске обычно записаны какие-нибудь приложения,
например, Skype, чтобы их можно было запустить прямо с флеш-диска, но
туда можно записать и любые другие данные, в частности, изменить файл
автозапуска autorun.inf. Это делается при помощи программы-инсталлятора
LPInstaller.exe от Sandisk заменой заранее созданного образа с именем
cruzer-autorun.iso.
Файл автозапуска запускает различные
утилиты, которые без труда копируют хэши LM из системы на флеш-диск.
Далее следует быстрый подбор пароля: исходное слово (из 7 больших букв,
а также цифр и некоторых символов) преобразуется (хэшируется) по
алгоритму DES и сравнивается с зашифрованным. Для ускорения
используются заранее сгенерированные хэши наиболее часто встречающихся
паролей по словарю.
В процессе взлома может возникнуть несколько
проблем. Во-первых, ничего не получится, если компьютер работает не под
учетной записью администратора. Во-вторых, стандартные утилиты
копирования хэша могут быть обнаружены антивирусом. Так, утилиту pwdump
обнаруживает антивирус Symantec, но если эта несложная утилита
нестандартна или пересобрана, то взломщику не о чем беспокоиться.
Чтобы
защититься от взлома паролей с помощью флеш-карты, пользователь может
либо отключить функцию автозапуска компакт-дисков, либо выбрать длинный
пароль из случайных символов, что усложнит процесс подбора. Начиная с
Windows 2000, можно отключить хранение хэшей LM.
Уязвимости
системы хранения паролей Windows известны давно, еще со 2-й половины
90-х гг. Однако USB и флеш-дисков тогда еще не было, и хакеры
использовали другие порты.
