Blog elhacker.NET: Tarjeta de red USB modificada extrae credenciales en Windows y Mac OS X

El investigador de seguridad Rob Fuller ha descubierto un método que puede ser utilizado para robar credenciales de un equipo bloqueado (pero, logeado, es decir, con sesión iniciada) y funciona tanto en Windows como en Mac OS X (con Samba instalado o si el usuario pertenece a un Active Directory). USB Ethernet + DHCP + Responder == Obtener credenciales. Posiblemente el ataque también funcione en Linux, pero todavía no se ha probado.

El experto demostró y explicó cómo aprovechar un dispositivo USB Ethernet para convertirlo en un "sniffer de credenciales" que funciona incluso en un sistema operativo bloqueado: USB Ethernet + DHCP + Responder == Creds

Fuller ha modificado el firmware de Ethernet USB Plug-and-Play de tal manera que el dispositivo se instala y actúa como gateway de red, servidor DNS y WPAD Proxy Server en la máquina de la víctima. El ataque es posible porque la mayoría de las PCs instalan dispositivos USB Plug-and-Play automáticamente, lo cual significa que incluso si un sistema está bloqueado, el dispositivo comienza a funcionar.

En los sistemas operativos modernos (Win10/El Capitan), hay algunas restricciones sobre qué tipos de dispositivos se permiten instalar en un estado bloqueado, pero LAN/Ethernet está definitivamente en la lista blanca.

¿Por qué el equipo comparte automáticamente las credenciales con cualquier dispositivo conectado? Esto es debido al comportamiento predeterminado del servicio de resolución de nombres de Microsoft Windows, que puede ser objeto de abuso para robar credenciales de autenticación.

¿Por qué funciona este ataque?

Debido a que es USB Plug-and-Play. Esto significa que incluso si un sistema está bloqueado, el dispositivo aún así se instala. Ahora, creo que hay restricciones sobre qué tipos de dispositivos están autorizados para instalar en un estado bloqueado a cabo en los sistemas operativos más recientes (Win10 / El Capitán), pero Ethernet / LAN está definitivamente en la lista blanca.
Los ordenadores están creando constantemente tráfico, incluso si no tienes ningún navegadores o aplicaciones abiertas, y la mayoría de las computadoras confían en su red local,
Las preferencias de red cuando hay más de puerta de enlace o conexión de red se basa en la "métrica" en Windows y una combinación de métricas y "preferencia" en OSX, pero por defecto de red son "conectado" y "nuevo / más rápido" siempre gana.

El adaptador de Ethernet USB Plug-and-Play modificado incluye la aplicación Open Source Responder, que permite falsificar la red para interceptar el hash de las credenciales y los almacena en una base de datos SQLite. Los hash recogidos por la herramienta pueden ser más tarde fácilmente atacados por fuerza bruta para obtener contraseñas de texto plano.

Vídeo de la demostración con Windows 10 con lock screen

Aclaración: en los 13 segundos que se mencionan solo se obtiene el hash de la clave y no se desbloquea la pantalla, como se muestra en el video. El hash luego debe crackearse por los métodos tradicionales.

Fuller probó el ataque con éxito su dispositivo en Windows 98 SE, Windows 2000 SP4, Windows XP SP3, Windows 7 SP1, Windows 10 Enterprise and Home, (no en Windows 8) y también en OS X El Capitan y OS X Mavericks. Actualmente está planeando probarlo en varias distros de Linux .