Attaque de Mousejack: vulnérabilité critique trouvée dans les souris et claviers sans fil

Des experts en sécurité de Bastille Networks ont publié une étude sur les souris et claviers sans fil qui communiquent avec un ordinateur via un dongle USB. Ils affirment que l'attaquant peut prendre le contrôle de l'ordinateur et envoyer des commandes arbitraires, tout en étant à une distance pouvant atteindre 100 m de l'ordinateur. Les appareils sans fil utilisant le protocole Bluetooth ne sont pas affectés par cette vulnérabilité.

Les fabricants non Bluetooth utilisent généralement la fréquence ISM 2,4 GHz pour faire fonctionner leurs appareils. Puisqu'il n'y a pas de protocole unique pour le fonctionnement des appareils sans fil, chacun des fabricants crée ses propres options pour leur travail, y compris la protection. L'étude a examiné les contrôleurs de Logitech, Dell et Lenovo.

Il s'est avéré que bien que la plupart des claviers communiquent avec le dongle USB via un protocole crypté, aucune des souris testées ne s'en soucie. En conséquence, il n'y a pas d'authentification de la souris - le dongle ne distingue tout simplement pas le paquet de contrôle transmis par la souris de la radio du paquet transmis par l'attaquant.

Un récepteur populaire parmi les fabricants est le nRF24L de Nordic Semiconductor, donc après avoir étudié ses travaux, les chercheurs ont pu résumer les données sur de nombreux appareils. Et pour implémenter le hack lui-même, aucun équipement spécial n'est nécessaire - vous avez juste besoin d'un dongle USB similaire pour 15 $ et d'un programme Python en 15 lignes de code.

Les problèmes rencontrés dans le traitement des signaux reçus par les dongles ont permis aux chercheurs de créer une méthode par laquelle les paquets transmis seront reconnus non pas comme des clics et des mouvements de souris, mais comme des frappes sur les touches du clavier. Ces problèmes varient d'un fabricant à l'autre, mais ils peuvent être divisés en trois catégories.

1. Injection de clics avec une souris de remplacement

Certains dongles ne vérifient pas le type de commande reçu avec le type d'émetteur. En conséquence, ils reçoivent calmement les touches du périphérique de la souris. Faisant semblant d'être un dongle de souris, l'attaquant envoie des paquets non cryptés au dongle de la victime, et il les traite calmement comme des clics.

2. Injection de frappes avec un clavier de remplacement

Bien que la plupart des claviers fonctionnent avec des dongles via un canal crypté, tous les dongles ne nécessitent pas un cryptage obligatoire. Par conséquent, l'attaquant peut transmettre des commandes non chiffrées que le dongle de la victime traite, comme les commandes de son propre clavier.

3. Appariement forcé

En général, en production, les dongles sont associés à un clavier ou une souris, mais certains fabricants autorisent l'ajout de nouveaux appareils pour lesquels le dongle est transféré vers un mode de fonctionnement spécial - par exemple, dans les cas où un clavier est ajouté à une souris ou lorsque le dongle est perdu et que l'utilisateur en définit un nouveau. Si la victime n'utilise qu'une seule souris, l'attaquant peut prétendre être un clavier, le connecter de force au dongle de la victime et envoyer des commandes de contrôle.

Les chercheurs affirment qu'une attaque peut se produire dans un court laps de temps - un dongle est capable de simuler l'impression de 1000 caractères par minute et, par conséquent, d'installer un cheval de Troie en 10 secondes.

Certains fabricants proposent des dongles reprogrammables - ceux dont le firmware peut être modifié. Logitech a déjà signalé avoir pris cette vulnérabilité au sérieux et publié un firmware mis à jour pour les produits sans fil. Malheureusement, de nombreux dongles ont une mémoire en lecture seule, par conséquent, leur vulnérabilité ne peut pas être corrigée.

Source: https://habr.com/ru/post/fr390767/