据研究人员称,表面上无害的设备会给你公司最有价值的资产带来巨大的威胁。这些研究人员在微软Windows XP USB驱动程序中发现了两个新的程序缺陷。
SPI Dynamics公司的安全工程师David Dewey和Darrin Barrall在黑帽大会上讨论了两个USB驱动程序的缺陷。这两个程序缺陷能够很容易地导致可怕的安全突破。他们在题为“打开王国大门的USB钥匙”的讲话中演示了如何把一个普通的USB存储设备很容易地变成一个基于硬件的特洛伊木马。
Dewey说,虽然物理上接近一台机器很容易导致突破,但是,物理突破通常是很危险的和可以看到的。然而,基于USB接口的特洛伊木马在物理访问10秒钟之内就可以完全攻破计算机中的数据。例如,一个零售商店的售货机终端配置了一个带USB接口的显示器。一个恶意的攻击者乘人不备插入一个USB设备,然后等待10秒钟让监视程序下载里面的程序,随后离开现场。一两个星期之后,攻击者再把这个USB设备插入那个接口,那个售货机终端记录的交易和信用卡信息就被复制下来了。这就是没有任何人看到的两个10秒钟的攻击。
他们举的另一个例子是,他们在会议上拿出了一大推免费赠送的拇指大的优盘。这种赠送的优盘可以作为有效地散发rootkit的工具,这种rootkit能够把信息发回到恶意的黑客那里。Dewey说,有人在旁边走过,拿起一个这种赠送优盘,他们就使这些rootkit生根了。当这个USB设备插入被害人的PC之后,这个设备就会“向家里打电话”和传输信息。
第三个例子是一个“SneakerNet”蠕虫。一个不知不觉被感染的人通过在同事中流传的一个优盘转移未经授权的“巴黎希尔顿”(Paris Hilton)图片。
Dewey说,这只是恶意黑客使用USB设备实施攻击的许多简单的方法中的几个例子。恶意黑客使用这种“走过去即可拥有”的攻击手段为自己谋利。
虽然这类攻击仅发生在使用Windows自动运行功能时候,并且仅对非移动硬盘有效,但是,Dewey演示了如何使用系统内置的用于USB设备升级防火墙的程序使一个USB设备看起来像一个非移动硬盘。Dewey建议关闭Windows自动运行功能以防止基于USB接口的攻击。
接下来,Darrin Barrall演示了硬件“Meta-USB”设备。这个小组把这种设备制成了一种攻击操作系统内核的工具。这种所谓的“Meta-USB”设备可以模仿有设备驱动程序的其它USB设备,并且假定得到了操作系统的信任。
Dewey称,当“Meta-USB”制作完成之后,这种设备就像是Windows操作系统支持的任何USB设备一样。这些问题并不仅是Windows的具体问题。
他说,我们能够以Windows 2000以上版本操作系统中某些缺省安装的具体的Windows驱动程序为攻击目标。然而,我们使用的设备是兼容USB 2.0标准的,并且可以在Linux、OS X等操作系统上进行测试。
据了解这个问题的匿名消息来源称,他们展示的东西只是冰山一角。像“Meta-USB”那样的设备能够用来控制计算机,其方法比演示者介绍的方法还要容易。
