Il software modem USB installa parser autorun.inf, ci sono dei rischi?

5

Un importante produttore di dispositivi di telecomunicazione spedisce il suo modem USB con software di supporto e driver in modo che l'utente possa connettersi a Internet e inviare / ricevere SMS.

Poiché le versioni recenti di Windows non eseguono più automaticamente i file autorun.inf, hanno incluso un componente con il driver che esegue automaticamente i file autorun.inf da dispositivi simili; i file autorun.inf dalle unità USB non sembrano essere eseguiti dal driver. (Presumo che controlli l'ID del dispositivo prima di eseguire il file autorun.inf.)

Ci sono dei rischi associati a tale componente del driver?

    
posta user2064000 07.10.2016 - 08:37
fonte

3 risposte

2

L'esecuzione automatica era abilitata per impostazione predefinita in Windows XP ed eseguiva qualsiasi file a cui fa riferimento autorun.inf quando viene inserito un disco di archiviazione. Era molto facile eseguire malware da un'unità USB, basta fare riferimento a il file di autorun e lascia fare a Windows il resto.

È stato disabilitato in Windows Vista e in seguito per ovvi motivi, eppure questo software reimplementa le sue funzionalità, molto probabilmente come soluzione alternativa a basso costo in modo che non debbano stampare un opuscolo informativo che informa gli utenti di eseguire il software manualmente.

Il controllo degli ID USB non è sufficiente in quanto un dispositivo canaglia può enumerare come qualsiasi dispositivo, incluso il modem originale, e tuttavia presentare un file canaglia. Anche il controllo di una firma è rischioso, in quanto non si conosce la protezione della chiave privata associata (non affiderei a nessuno la possibilità di pensare che questo software sia una buona idea con una chiave privata). Potrebbero esserci anche delle vulnerabilità nel codice che controlla il dispositivo stesso.

Finalmente non sappiamo come questo sia implementato. Se viene eseguito come un servizio sotto l'utente di sistema, questo non solo eseguirà il codice potenzialmente non affidabile da USB, ma lo eseguirà anche come SISTEMA. Peggio ancora, questo potrebbe essere implementato come un driver di dispositivo, il che significa che il codice dannoso potrebbe essere eseguito con privilegi ancora più elevati.

Questo dispositivo è una pessima idea - gettalo nel cestino e prendi un bridge Wi-FI mobile, che non richiede alcun driver ombreggiato e appare come qualsiasi host non fidato sulla rete, qualcosa che tu può difendersi contro con un firewall.

    
risposta data 05.01.2017 - 14:00
fonte
2

Ovviamente: sapendo questo, l'attaccante potrebbe costruire dispositivi USB falsi con lo stesso ID per rendere autorun in grado di eseguire il suo malware ...

    
risposta data 05.01.2017 - 14:10
fonte
0

La pratica migliore è disabilitarla completamente. ma non si può dire nulla a riguardo, a meno che non si cerchi di analizzare cosa sta facendo in background. puoi installare un'utilità chiamata Process Explorer e analizzare processi specifici, aprirli handle di file e connessione di rete per analizzare cosa sta facendo (se vuoi fare analisi da solo)

    
risposta data 07.10.2016 - 08:52
fonte

Leggi altre domande sui tag