Aunque en ocasiones se nos olvida, normalmente tenemos la sana costumbre de bloquear nuestro ordenador cuando nos ausentamos temporalmente para por ejemplo ir a por un caf o a comer. Incluso dejamos el equipo encendido bloqueado cuando terminamos la jornada para que al da siguiente no perdamos tiempo y podamos inmediatamente reanudar la actividad.

Si bien esto parece una buena medida de seguridad y nos hace sentir seguros, esta semana
Rob Fuller de R5 industries ha demostrado que todo lo que se necesita para robar los hashes de las contraseas del PC bloqueado es conectar un USB durante unos segundos. El hash ms adelante puede ser crackeado o utilizado directamente en algunos ataques a la red.
Para su ataque, Fuller utiliza un pequeo ordenador del tamao de un dispositivo flash llamado USB Armory que cuesta 100, aunque el mismo ataque se puede sacar con dispositivos ms baratos, como Hak5 LAN Turtle que cuesta $50.

El dispositivo tiene que hacerse pasar por un adaptador LAN ethernet USB de tal manera que se convierte en la interfaz de red principal en el equipo al que se conecta. Esto no debera ser difcil porque: 1) los sistemas operativos inician automticamente la instalacin de los dispositivos USB conectados incluyendo tarjetas de red, incluso cuando estn en un estado de bloqueo y 2) configuran automticamente las tarjetas Ethernet por cable como las puertas de enlace predeterminadas.

Por ejemplo, si un atacante enchufa un adaptador USB-Gigabit Ethernet falso en un porttil con Windows bloqueado que normalmente utiliza una conexin inalmbrica, el adaptador se instalar y se convertir en la interfaz de red preferida.

Por otra parte, cuando una nueva tarjeta de red se instala, el sistema operativo intenta obtener la configuracin automtica mediante el protocolo de configuracin dinmica de host (DHCP). Esto significa que un atacante puede tener un equipo malicioso en el otro extremo del cable Ethernet que acta como un servidor DHCP. Como comentamos, USB Armory es un ordenador en un dispositivo que se alimenta a travs de USB y puede ejecutar Linux, por lo que no se requiere un equipo diferente.

Una vez que el atacante controla la configuracin de red de un equipo a travs de DHCP, tambin controla las respuestas DNS (Domain Name System), y puede configurar un proxy de Internet falso a travs del protocolo WPAD (descubrimiento automtico de proxy web). Esencialmente ganar una posicin privilegiada para un ataque man-in-the-middle que se puede utilizar para interceptar y manipular el trfico de red del ordenador.

Segn Fuller, los equipos bloqueados an generan trfico de la red, lo que permite que el nombre de cuenta y la contrasea (hash) puedan ser extrados. El tiempo necesario para que un dispositivo USB capture las credenciales de un sistema mediante este ataque es de alrededor 13 segundos, dijo.

Prob el ataque con xito en Windows y OS X. Sin embargo, todava se est trabajando en confirmar si OS X es vulnerable por defecto o si fue configuracin particular de su Mac que era vulnerable.

"En primer lugar, esto es demasiado simple y no debera funcionar, pero lo hace," dijo el investigador en un blog. "Adems, no es posible de que yo sea el primero que ha identificado esto, pero ah est."

Dependiendo de la versin de Windows instalada en el equipo y su configuracin, los hashes de las contraseas estarn en NT LAN Manager (NTLM) versin 2 o formato NTLMv1. Los hashes NTLMv2 son ms difciles de descifrar, pero no es imposible, especialmente si la contrasea no es muy compleja y el atacante tiene acceso a una plataforma potente.

Hay tambin algunos ataques contra los servicios de red de retransmisin, donde los hashes NTLM se puede utilizar directamente sin necesidad de conocer la contrasea en texto plano del usuario (pass-the-hash).

La leccin de todo esto es, como Fuller seal en Twitter: "No dejes tu PC conectado, especialmente durante la noche, sin vigilancia, aunque bloquees la pantalla".

Fuentes:
- A USB device is all it takes to steal credentials from locked PCs
- Snagging creds from locked machines