¿Tienes el PC bloqueado? Aún te pueden robar las contraseñas conectando un simple USB

Aunque en ocasiones se nos olvida, normalmente tenemos la sana costumbre de bloquear nuestro ordenador cuando nos ausentamos temporalmente para por ejemplo ir a por un café o a comer.

Incluso dejamos el equipo encendido bloqueado cuando terminamos la jornada para que al día siguiente no perdamos tiempo y podamos inmediatamente reanudar la actividad, si bien esto parece una buena medida de seguridad y nos hace sentir seguros.

El hash más adelante puede ser crackeado o utilizado directamente en algunos ataques a la red.

Para su ataque, Fuller utiliza un pequeño ordenador del tamaño de un dispositivo flash llamado USB Armory que cuesta $155, aunque el mismo ataque se puede sacar con dispositivos más baratos, como Hak5 LAN Turtle que cuesta $50.

El dispositivo tiene que hacerse pasar por un adaptador LAN ethernet USB de tal manera que se convierte en la interfaz de red principal en el equipo al que se conecta.

Esto no debería ser difícil porque: 1) los sistemas operativos inician automáticamente la instalación de los dispositivos USB conectados incluyendo tarjetas de red, incluso cuando están en un estado de bloqueo y 2) configuran automáticamente las tarjetas Ethernet por cable como las puertas de enlace predeterminadas.

Por ejemplo, si un atacante enchufa un adaptador USB-Gigabit Ethernet falso en un portátil con Windows bloqueado que normalmente utiliza una conexión inalámbrica, el adaptador se instalará y se convertirá en la interfaz de red preferida.

Por otra parte, cuando una nueva tarjeta de red se instala, el sistema operativo intenta obtener la configuración automática mediante el protocolo de configuración dinámica de host (DHCP).

Esto significa que un atacante puede tener un equipo malicioso en el otro extremo del cable Ethernet que actúa como un servidor DHCP.

Como comentamos, USB Armory es un ordenador en un dispositivo que se alimenta a través de USB y puede ejecutar Linux, por lo que no se requiere un equipo diferente.

Una vez que el atacante controla la configuración de red de un equipo a través de DHCP, también controla las respuestas DNS (Domain Name System), y puede configurar un proxy de Internet falso a través del protocolo WPAD (descubrimiento automático de proxy web).

Esencialmente ganará una posición privilegiada para un ataque man-in-the-middle que se puede utilizar para interceptar y manipular el tráfico de red del ordenador.

Según Fuller, los equipos bloqueados aún generan tráfico de la red, lo que permite que el nombre de cuenta y la contraseña (hash) puedan ser extraídos.

El tiempo necesario para que un dispositivo USB capture las credenciales de un sistema mediante este ataque es de alrededor 13 segundos, dijo.

Probó el ataque con éxito en Windows y OS X. Sin embargo, todavía se está trabajando en confirmar si OS X es vulnerable por defecto o si fue configuración particular de su Mac que era vulnerable.

«En primer lugar, esto es demasiado simple y no debería funcionar, pero lo hace,» dijo el investigador en un blog. «Además, no es posible de que yo sea el primero que ha identificado esto, pero ahí está.»

Dependiendo de la versión de Windows instalada en el equipo y su configuración, los hashes de las contraseñas estarán en NT LAN Manager (NTLM) versión 2 o formato NTLMv1. Los hashes NTLMv2 son más difíciles de descifrar, pero no es imposible, especialmente si la contraseña no es muy compleja y el atacante tiene acceso a una plataforma potente.

Hay también algunos ataques contra los servicios de red de retransmisión, donde los hashes NTLM se puede utilizar directamente sin necesidad de conocer la contraseña en texto plano del usuario (pass-the-hash).

La lección de todo esto es, como Fuller señaló en Twitter: «No dejes tu PC conectado, especialmente durante la noche, sin vigilancia, aunque bloquees la pantalla«.