Beveiligingsonderzoeker Rob Fuller heeft in een blogpost beschreven hoe hij via een aangepaste usb-ethernetadapter de inloggegevens van een ingelogde gebruiker steelt, terwijl het lockscreen wordt getoond. Dit zou werken op Windows- en OS X-computers.
Fuller, ook bekend als 'Mubix', legt uit dat hij voor de aanval zowel een USB Armory als een LAN Turtle kon gebruiken. Op deze van een soc voorziene usb-apparaten kan verschillende software geïnstalleerd worden, bijvoorbeeld voor doeleinden als penetration testing.
Door gebruik te maken van de zogenaamde Responder-module doet de usb-drive zich voor als een gateway, dns-server en wpad-server voor de computer waarop deze wordt aangesloten. Zo kon de onderzoeker de inloggegevens achterhalen van een gebruiker die is ingelogd op een systeem dat een lockscreen toont. Fysieke toegang tot het apparaat is daarvoor noodzakelijk.
De onderzoeker legt uit dat de aanval werkt doordat het apparaat direct na het aansluiten wordt geïnstalleerd via plug-and-play. Daarna stuurt de computer van het slachtoffer de lokale inloggegevens door naar de usb-drive voor de installatie, omdat apparaten op het lokale netwerk volgens Fuller over het algemeen worden vertrouwd. Met speciale software zijn deze gegevens vervolgens te onderscheppen. De computer kiest de geschiktste ethernetverbinding automatisch op basis van snelheid en 'nieuwheid', zo legt Fuller verder uit. Op deze manier was de onderzoeker in staat om de gegevens binnen dertien seconden in handen te krijgen.
De inloggegevens zijn niet meteen in klare tekst in te zien, maar zijn gehasht met een ntlmv2-hash. Deze moet op een later moment gekraakt worden. Fuller schrijft dat hij zijn methode heeft getest op computers met Windows 98 SE, 2000 SP4, XP SP3, 7 SP1 en op Windows 10. Ook op de Mavericks- en El Capitan-versies van OS X had hij succes, alleen weet hij nog niet of dat aan zijn configuratie lag. Fuller zegt nog niet te weten of zijn aanval ook werkt op Linux, maar belooft een nieuwe blogpost te maken als dat het geval blijkt te zijn.
Bron: Tweakers.net