Đánh cắp thông tin đăng nhập của một chiếc máy tính đang khoá màn hình đã trở nên dễ dàng hơn bao giờ hết, kỹ thuật mới chỉ cần một thiết bị phần cứng giá 50 đô la là có thể hoàn thành việc đánh cắp trong chưa tới 30 giây.
Rob Fuller, kỹ sư bảo mật chính tại công ty R5 Industries nói rằng, kỹ thuật lấy cắp thông tin này hoạt động hiệu quả trên các máy tính chạy Windows và cũng đã thành công với hệ điều hành OS X, dù Fuller vẫn đang làm việc với những chuyên gia khác để kiểm tra xem liệu có phải đó chỉ là do thiết lập trên máy tính của ông không tốt. Bằng cách cắm một máy tính mini bằng cỡ thẻ USB vào một máy tính đã đăng nhập nhưng đang ở màn hình khoá, Fuller có thể lấy được tên đăng nhập và giá trị băm của mật khẩu dùng để truy cập máy tính đó.
Fuller, được biết đến nhiều hơn với biệt danh trong giới hacker là mubix, nói rằng kỹ thuật này có thể dùng với cả hai loại máy tính mini chạy Linux là Hak5 Turtle (giá 50 đô la) và USB Armory.
Trên blog của mình, mubix viết rằng "Cách làm này cực kỳ đơn giản và lẽ ra không được xảy ra, nhưng nó lại thực hiện được. Ngoài ra, không có lý do gì khiến tôi là người đầu tiên phát hiện ra điều này, nhưng quả thực nó (lỗ hổng) đang tồn tại. Hãy tin tôi, tôi đã thử nghiệm theo rất nhiều cách khác nhau để xác nhận điều này, vì tôi không thể tin nó là sự thực".
Giá trị băm bị đánh cắp có thể được phá, hay hạ cấp thành một giá trị băm khác, thứ có thể được dùng để giành quyền truy cập trái phép. Nếu chiếc máy tính chạy một phiên bản Windows cũ, giá trị băm NTLMv1 có thể được chuyển sang dạng NTLM, dù mật khẩu gốc có phức tạp đến đâu chăng nữa. Và từ đó, nó có thể được dùng trong kiểu tấn công pass-the-hash (truyền giá trị băm để xác thực thay cho bản rõ của mật khẩu).
Giá trị băm NTLMv2 mà các phiên bản mới của Windows sử dụng sẽ khiến kẻ xấu mất nhiều thời gian hơn. Trong các thử nghiệm của mubix, ngay cả các giá trị băm của thuật toán mới nhất El Capitan Mac cũng có thể bị hạ cấp xuống thành kiểu NTLMv1 - kiểu dễ bị phá.
Hak5 Turtle và USB Armory là những máy tính Linux có khả năng giả lập một thiết bị USB Ethernet. Mubix chỉnh sửa một chút cấu hình để thể hiện máy tính mini đó như một máy chủ DHCP. Điều đó khiến cho thiết bị được cắm vào cổng USB này trở thành cổng mặc định (default gateway) có khả năng nhận các gói tin truyền qua mạng. Dùng một ứng dụng chuyên dùng để hack có tên là Responder, thiết bị này có thể nhận các token xác thực. Mubix cho biết một số người đã có thể thực hiện các thiết lập tương tự hoạt động trên RaspberriPi Zero.
Trong thử nghiệm của mubix, chiếc máy tính mini USB Armory được cắm vào một máy tính đã đăng nhập nhưng ở trạng thái khoá màn hình. Nó khởi động bằng năng lượng nhận từ cổng USB, khởi tạo một máy chủ DHCP và chạy ứng dụng Responder. Khi đó, máy tính của nạn nhân nhận chiếc máy tính mini là một card mạng, thực hiện các hoạt động định tuyến và gửi các gói tin cho Armory thay vì gửi tới card mạng thực.
Responder phản hồi tới tất cả các loại dịch vụ yêu cầu xác thực và do phần lớn hệ điều hành coi mạng nội bộ là vùng “đáng tin cậy”, phần mềm hack sẽ nhận được các gói tin xác thực. Sau khi nhận và cập nhật thông tin đăng nhập vào cơ sở dữ liệu của Responder, chiếc Armory tắt máy để kết thúc nhiệm vụ.
