Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Récupérer des logins et mots de passe sur une machine verrouillée

Mubix (Rob Fuller) a publié sur son site un article intéressant où il explique, encore tout étonné, qu’il est possible de récupérer des identifiants (login + passwords) sur un ordinateur dont la session est verrouillée.

Pour cela, il a utilisé un Hak5 Turtle à 49,99 $ qui n’est ni plus ni moins qu’un mini-ordinateur qui permet de faire du man in the middle sur n’importe quelle machine. Voici d’ailleurs une explication plus détaillée de ce qu’est la Hak5 Turtle :

Comme c’est déjà prévu sur la Turtle, c’est easy à configurer. Il suffit d’activer les modules « serveur DHCP » ainsi que le module Responder de Laurent Gaffié.

Responder est un super outil capable de recevoir et de stocker toutes les demandes d’authentification (NTLMv1/NTLMv2/LMv2, NTLMSSP et authentification HTTP basique) qui passent par lui, que ce soit via HTTP/SMB/MSSQL/FTP/LDAP.

Là où ça devient vraiment moche, c’est qu’en pluggant cette clé Hak5 Turtle sur un ordinateur dont la session est verrouillée, il est possible de récupérer des tas d’identifiants et de mots de passe (chiffrés ou non). Comment ?

Et bien comme l’USB est plug and play, le système l’active immédiatement, et cela même si la session est lockée. Reconnue comme un adaptateur Ethernet par Windows ou macOS, ça passe donc comme une lettre à la poste, et comme l’Ethernet c’est plus rapide que le Wifi, l’OS a tendance à choisir ce mode de connexion pour transmettre ses données. Donc même si l’ordinateur est connecté en wifi, le simple fait de connecter cette clé USB Turtle, va faire en sorte que tout le trafic sortant passe par cet adaptateur.

Et ce qu’on a du mal à imaginer (et Mubix aussi d’ailleurs), c’est la quantité de trafic sortant qu’un ordinateur peut produire lorsqu’il est verrouillé. Pas besoin d’ouvrir un navigateur ou une application, non, non, l’OS va causer dans tous les sens, faisant parfaitement confiance à son réseau local, donc à la clé Turtle, et lui balançant des tas d’identifiants.

La fête quoi !

Mubix a réalisé ses tests avec une Turtle de Hak5, mais aussi avec une USB Armory qui est un poil plus cher (155 $) et qui permet de faire sensiblement la même chose en mode plus barbu, du moment que vous installez Responder et le serveur DHCP dessus.

Voici une démo de la clé USB Armory en action. En moins de 13 secondes, elle récupère des identifiants. Impressionnant !

Mubix a réalisé des tests sur :

  • Windows 98 SE
  • Windows 2000 SP4
  • Windows XP SP3
  • Windows 7 SP1
  • Windows 10 (Enterprise et Home)
  • OSX El Capitan / Mavericks

Et à chaque fois, il a pu récupérer des infos. Il n’a pas encore testé sous Linux.

Je vous rassure, il n’y a rien à faire pour empêcher ça… C’est d’office dans le système d’exploitation. C’est con hein ? 😉


Serveur NAS Synology DS218J – une valeur sûre dans un monde de brut

Le serveur NAS Synology DiskStation DS218j, c’est une solution performante de stockage conçue pour les particuliers, qui vous donne la possibilité de vous créer un cloud personnel. Muni de 2 baies, il est parfait pour un usage domestique. Son excellent débit séquentiel de 113 Mo/s en lecture et 112 Mo/s en écriture est rendu possible grâce à son double processeur Marvell Armada 385 88F6820 double coeur à 1,3 GH, avec moteur de chiffrement matériel.

Ce serveur NAS s’adapte sans effort aux environnements Windows, Mac ou Linux. Vous pouvez garder et synchroniser vos données Dropbox, Google Drive, Microsoft OneDrive, Baidu et Box sur votre serveur grâce au Cloud Sync.


Réponses notables

  1. Voulu l’acheter par Paypal…et je reçois ça comme message…
    Sorry, this shop is currently unavailable.
    Après 5 essais,c’est commandé…

  2. skepty says:

    Windows 8 et 8.1 sont épargnés?

  3. dhglm5 says:

    En fait, Responder va répondre aux requêtes de résolution DNS des protocoles LLMNR et NetBIOS.
    Il peut aussi envoyer une configuration de proxy via WPAD.

    Le but c’est que Responder se fasse passer pour le service à atteindre (share, site web…).

    Une fois que c’est le cas, dés que la machine va vouloir communiquer avec le service en question, Responder va lui demander de s’authentifier en premier, ce que la machine va faire automatiquement en envoyant un hash de mot de passe (souvent le mot de passe de session).

    On récupère donc le plus souvent des hash de mots de passe avec lesquels on a deux possibilités:

    1. Récupérer le mot de passe en clair à l’aide d’une attaque par dictionnaire avec john the ripper par exemple.
    2. L’utiliser tel quel dans une attaque de type PassTheHash.

    Et pour faire tout ca, pas besoin de LAN Turtle, Responder installé sur une machine Linux suffit.

    La force du LAN Turtle dans ce contexte ci, c’est qu’on peut le transporter dans sa poche et le connecter à une machine en particulier.

    Un Raspberry Pi connecté au LAN (avec Responder) donnera beaucoup plus de résultats (mais forcément pas ciblé pour la machine en question)

  4. Perso sur mon Mac, j’ai remis ipfw et fait 2 règles qui bloque le traffic sortant :

    02100 498 53566 deny ip from any to any dst-port 137-139,201-208,445,548,625,1900,5204,5223,5353,8612
    02100 26 2248 deny ip from any 137-139,201-208,445,548,625,1900,5204,5223,5353,8612 to any

    Sans compter que mon compte n’est pas admin.

    Plus le fait que j’ai mis un maraDNS qui bloque toutes les résolutions sur les domaine en apple.com

    Plus le fait que dans mon fichier /etc/hosts j’ai les bloqué vers les domaine Apple :

    xx.courier-sandbox-push-apple.com.akadns.net

    phobos.apple.com

    Du coup, j’suis pas sûr que sur ma machine ça fonctionne.

    Je n’aime pas l’idée que quelqu’un que je ne connais pas (Apple) accède à quoi que ce soit de mon ordinateur (Macbook air) et j’ai fait la même chose pour Windows (fichier hosts + firewall + désactivé un bon nombre de services)

    Après je ne remet pas en cause la clé même si je dirais que son utilisation est obscure (attaque ? défense ? légal ? moral ? éthique ?..)

  5. Il y a un moyen très simple pour empêcher ce truc de fonctionner : il suffit d’installer un mdp au niveau du bios, comme du temps du bon vieux MS-DOS que les moins de 20 ans ne peuvent pas connaître…

  6. …et le reset de la carte mère tu le fais comment si tu n’as pas le mot de passe du bios,sur un portable…?

  7. fofo says:

    [quote=“babelphotos, post:10, topic:4600, full:true”]
    …et le reset de la carte mère tu le fais comment si tu n’as pas le mot de passe du bios,sur un portable…?
    [/quote]Exactement comme sur un PC fixe, en enlevant la pile de la carte-mère, sur certaines machines il suffit de dé-clipser le clavier sans aucun outil

  8. fofo says:

    [quote=“dhglm5, post:6, topic:4600, full:true”]
    J’ai oublié d’indiquer comment s’en prémunir sous Windows:

    • Désactiver le service de résolution LLMNR (dans les services)
    • Désactiver la résolution NetBIOS (sur la carte réseau)
    • Désactiver la configuration automatique du proxy
      [/quote] Sur un PC fixe pourquoi pas, sur un portable, si tu désactives ces services ton portable risque de moins bien marcher… (notamment le partage windows)
      Le vrai conseil c’est surtout d’éteindre sa machine ou de fermer la session, et de ne pas se contenter de la verrouiller.
  9. zorg says:

    Parler de verrouillage en utilisant lock pour “lockée” je ne sais pas si tu as pris des substances bizarres ou aussi pour pluggant pour un plug

    Puisque c’est si super:
    ça doit être Twitter qui dézingue le braining du notre Master K,
    c’st sub (the)> ze famous Ad en bas de ta Note?
    sur wordpress

    bon Ikoula ou ikoulapas moi je RAS mon com.

  10. Il y a visiblement une solution plus “simple” que de tout désactiver :slight_smile:

    “Probably the best way to stop this attack in an enterprise network is turning off automatic device installation for network devices (GUID is {4d36e972-e325-11ce-bfc1-08002be10318}) via GPO. Turn on manual overrride in case your users actually need USB network devices (i.e., mobile phone development, WiFi dongles, etc).”

    Sources :

    Pour les admins AD, un jeu d’enfants à déployer.

    Sinon il faut jouer les policy local sur votre Windows.

    Bon courage,

    Cordialement,

    Aurélien.

Continuer la discussion sur Korben Communauté

9 commentaires supplémentaires dans les réponses

Participants