Se lascio il mio schermo bloccato e qualcuno si infila in una chiavetta che è stata manipolata usando il cattivo exploit USB sarebbe possibile un attacco?
Se lascio il mio schermo bloccato e qualcuno si infila in una chiavetta che è stata manipolata usando il cattivo exploit USB sarebbe possibile un attacco?
I tre modi più conosciuti che Bad USB influisce su un computer sono:
- A device can emulate a keyboard and issue commands on behalf of the logged-in user, for example to exfiltrate files or install malware. Such malware, in turn, can infect the controller chips of other USB devices connected to the computer.
The device can also spoof a network card and change the computer’s DNS setting to redirect traffic.
A modified thumb drive or external hard disk can – when it detects that the computer is starting up – boot a small virus, which infects the computer’s operating system prior to boot.
Se lo schermo era bloccato, si applicava lo sconto dell'attacco forza bruta solo contro la schermata di blocco (2), che influisce su qualsiasi processo attualmente attivo o pianificato che crea connessioni in uscita dal computer. Tuttavia, se questi processi autenticano il server remoto utilizzando i certificati TLS / SSL, questa minaccia verrebbe mitigata.
Dipende dalle impostazioni dei criteri del gruppo hardware sul computer e dalla disponibilità dell'hardware.
In molti casi è possibile disabilitare i connettori USB su determinate aree della scheda madre. Inoltre Windows installa i driver per le porte USB attive collegate a seconda che tu abbia effettuato l'accesso o meno. Se l'unità è collegata e il driver è caricato da Windows, il BAD USB potrebbe avviarsi automaticamente e iniziare a eseguire il codice dannoso.
I criteri di gruppo impostano anche le autorizzazioni se le unità possono essere aggiunte o meno. Questo aiuta a prevenire l'esecuzione degli articoli. Non sono sicuro di quale codice venga eseguito o in quale fase di inizializzazione dell'unità, ma una buona deterrenza è l'uso di restrizioni GPO e BIOS.
Questo è il mio test di prima mano. Non sono sicuro di cosa potrebbero dire gli altri. Posso sicuramente vedere che se l'unità è alimentata e viene inizializzata in qualche modo con il codice di alimentazione può essere eseguita per iniettare un driver ed eseguire il codice dannoso.