Desde hace algunos años las normas de seguridad nos dictan que lo más recomendable es tener siempre habilitada una contraseña en nuestro ordenador, una medida que sabemos que no es 100% segura pero que ayuda a tener una capa adicional para proteger nuestra información.

 

Dentro de estas "costumbres" muchos usuarios suelen activar el bloqueo cuando están por apartarse de sus ordenadores de forma temporal, bloqueo en donde la sesión sigue abierta. Esta medida podría parecer una buena costumbre, sin embargo, no es así, ya que se ha descubierto que un ordenador en este estado es la víctima perfecta para extraerle credenciales de acceso.

 

La recomendación es cerrar la sesión o apagar por completo

 

Rob Fuller, ingeniero en seguridad para R5 Industries, ha descubierto que los sistemas operativos como Windows y OS X son propensos a robos de credenciales cuando están bloqueados con sesiones activas, ya que el ordenador mantiene activos muchos de los procesos en donde se tiene registrado el hash o firma digital del usuario, incluso la conexión de red.

 

Para tener acceso a esta firma digital sólo se necesita conectar un dispositivo USB por unos segundos para así violar el hash y almacenarlo en el dispositivo, que posteriormente servirá para acceder a otros servicios "protegidos" donde se incluyen los servicios de red.

 

Para demostrar la vulnerabilidad, Fuller ha usado una unidad conocida como USB Armory, que se encuentra en el mercado por aproximadamente 155 dólares, la cual se debe programar para que simule ser un adaptador LAN USB a Ethernet, con lo que se convertirá en la interfaz de red principal del ordenador que se desea hackear.

 

Esto es posible gracias a que la gran mayoría de los ordenadores están programados para instalar automáticamente los dispositivos USB que se conectan, y cuando el dispositivo USB es una tarjeta de red, el ordenador la configura para que se convierta en la principal puerta de enlace.

 

Con esto, el atacante se hace del control de la configuración de red, lo que le dará acceso a los DNS, configuración de proxys, entre otras cosas, pero lo más importante es que el permite interceptar y manipular todo el tráfico de red que ocurre en el ordenador "bloqueado". Todo ese tráfico que ocurre mientras la sesión está abierta, permite usar el hash NTLM extraído para tener acceso al nombre de la cuenta y la contraseña en aproximadamente 13 segundos.

 

Fuller probó este método en un par de ordenadores con Windows 8 y 10, así como en OS X, pero todavía no puede confirmar que el caso de Mac se deba a un fallo por defecto en el operativo o se debe a una configuración que lo hace vulnerable. Mientras tanto, la recomendación es cerrar sesión por completo, bloquear desconectando la conexión de red, o en todo caso apagar por completo el ordenador, ya que como menciona Fuller: "no es posible que yo sea el primero que haya descubierto esto".

 

Fuente