Sono protetto da malware di esecuzione automatica USB su Windows 7?

Quando si inserisce una chiave USB, accadono molte cose. Il sistema operativo prima parla con il dispositivo USB per sapere che tipo di dispositivo è e cosa può fare. Quindi, se il dispositivo dice che è una sorta di disco, il SO cercherà un filesystem su di esso, quindi monta ed esplorare alcuni dei file. A seconda di quali file sono stati trovati e del loro nome, il sistema operativo suggerirà una scelta di azioni all'utente (è il popup che vedi). Qualsiasi fase di quel processo potrebbe avere bug sfruttabili, e in effetti numerosi esempi di questi si sono verificati storicamente (ad esempio, Il jailbreak PS3 dello scorso anno è un dispositivo USB che, internamente, si annuncia come hub di quattro dispositivi, uno dei quali si muove incoerentemente sul bus USB in modo che attiva un buffer overflow nel driver USB del sistema operativo).

Quindi, mentre lo stato attuale di Windows è che il SO non eseguirà di design automaticamente il codice malevolo, potrebbe comunque farlo per errore . Per quanto ne so, non esiste un exploit attualmente pubblicato che lo faccia, ma non sarebbe plausibile che tutto quel codice sia privo di errori.

Come nota a margine, ciò che appare come una semplice penna USB può, internamente, comportarsi in modo molto diverso, e (per esempio) si mostra come una tastiera al sistema operativo - e inizia immediatamente a digitare" digitando ". Le possibilità sono quasi infinite. E un po 'paura.

Secondo Wikipedia:

• Windows 7

  For all drive types, except DRIVE_CDROM, the only keys available in the [autorun] section are label and icon. Any other keys in this section will be ignored. Thus only CD and DVD media types can specify an AutoRun task or affect double-click and right-click behaviour.

  There is a patch available, KB971029 for Windows XP and later, that will change AutoRun functionality to this behaviour.

link

Quindi, ciò indicherebbe che alcune parti di autorun.inf sono ancora effettivamente elaborate da Windows 7 dopo l'inserimento di qualsiasi supporto rimovibile. Quanta parte viene elaborata dipende dal fatto che il supporto in questione si trovi nell'unità ottica.

Non sono a conoscenza di eventuali vulnerabilità attuali collegate in modo specifico alle chiavi label o icon , ma ciò non significa che non ce ne saranno mai. C'è anche la possibilità che tu possa incontrare un CD / DVD / BD infetto o altri supporti ottici in cui più% di% co_de verrebbe elaborato. Pertanto, per proteggerti correttamente, ti consiglio comunque di disabilitare l'elaborazione di autorun.inf nella sua interezza.

Michael Horowitz ha scritto un ottimo articolo del blog su come AutoPun e Autoplay funzionano un po 'di tempo fa. Facendo eco al lavoro svolto da Nick Brown ed Emin Atac, l'articolo includeva un hack del registro per disabilitare tutte le elaborazioni di autorun.inf . Incollerò i dettagli della mod di registro qui sotto. Controlla il link dell'articolo per ulteriori informazioni.

La soluzione suggerita comporta l'aggiornamento del registro di Windows. Quindi, come sempre, è meglio fare un backup. La soluzione è stata scritta per Windows XP / Vista, ma dovrebbe funzionare anche in 7.

Zapping the registry is simple, all you need is the three lines shown below in a .reg file. Then double click on the file.

You can either copy the three lines below from this web page or download the file using the link at the bottom of this posting. The file name is not important, other than it should end with ".reg". Computerworld does not allow attaching files ending with ".reg" to a blog posting, so the file type is ".txt" and you'll have to rename it to end with ".reg".

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

Note that there are three lines in the file, the middle line may wrap when displayed by a web browser, but it needs to be a single line in the .reg file.

Nick Brown explains what this does:

This hack tells Windows to treat AUTORUN.INF as if it were a configuration file from a pre-Windows 95 application ... it says "whenever you have to handle a file called AUTORUN.INF, don't use the values from the file. You'll find alternative values at HKEY_LOCAL_MACHINE\SOFTWARE\DoesNotExist." And since that key, er, does not exist, it's as if AUTORUN.INF is completely empty, and so nothing autoruns, and nothing is added to the Explorer double-click action. Result: worms cannot get in - unless you start double-clicking executables to see what they do ...

     

Il testo "DoesNotExist" nella terza riga è pensato per essere un posto nel registro che non esiste. Se questo zap diventa molto popolare, il malware può cercarlo, quindi non può fare male cambiarlo solo un po '. Ad esempio, potrei usare qualcosa del genere      @="@ SYS: DoesNotExistMichael"   sui miei computer. Per essere chiari, questo non è affatto necessario. Lo zap come mostrato sopra funziona bene.

link

Naturalmente, questo non fa molto contro le chiavette USB che si presentano al sistema come qualcosa di diverso da quello che sono in realtà. La soluzione migliore è semplicemente non collegare nessun dispositivo di cui non ti fidi. E, non collegare nessun dispositivo affidabile nei sistemi che non conosci.

Per ulteriori informazioni su Autorun / Autoplay e su come funzionano, consultare i siti Web già citati. Inoltre, dai un'occhiata a questi link di Wikipedia:

link
link

Il comportamento predefinito è mostrare il popup. Il popup scansiona i media per i tipi di file e fa un'ipotesi plausibile su cosa potresti voler fare. Con il comportamento predefinito, l'unico modo per sfruttarlo è attraverso una vulnerabilità nel codice popup che legge il contenuto del media, che al momento non esiste [in the wild].

Non sei protetto e molto a rischio

Autorun.inf è un vecchio attacco che non dovrebbe più funzionare ma questo non è l'unico vettore di attacco che usa USB.

BadUSB è il luogo in cui il firmware è stato modificato su un dispositivo USB per emulare altri dispositivi ed estenderne le capacità. Ricorda che USB è solo una specifica per i dispositivi che si connettono e diversi dispositivi funzionano a diversi livelli o privilegi, l'archiviazione non funziona allo stesso livello di una tastiera. Con la funzionalità estesa, un dispositivo di memorizzazione apparirà come una tastiera quando collegato a una macchina.

Un possibile scenario potrebbe essere questo:

You plugin a USB stick, the next thing you know code is executing. This is possible due to the device emulating a keyboard USB device and supplying input to your system such as short cut keys to open up PowerShell and then run code.

BadUSB può essere trovato in prodotti commerciali che possono essere acquistati che utilizzano questo exploit come Bashbunny e Rubber ducky .

In aggiunta ci sono delle guide per creare da zero Come trovato qui

Assolutamente no

Il problema con autorun può essere risolto ma qualsiasi dispositivo USB può facilmente presentarsi come una tastiera o un mouse al sistema operativo e utilizzarlo per scaricare malware. Questo è un rischio che si applica a indipendentemente dalla piattaforma , a meno che il sistema operativo non richieda una finestra di conferma prima di consentire all'utente di installare nuovi dispositivi USB, di cui non sono a conoscenza.

Esamina Teensy se vuoi provare a creare una dimostrazione di come un tale attacco possa essere eseguito. È molto importante collegare solo dispositivi USB nel tuo computer che ritieni .