Technologieführer

Wie ein gefälschter Ethernet‑Adapter Anmeldepasswörter aufspüren kann

4 min read IT-Sicherheit Aktualisiert 19 Oct 2025
Gefälschter USB‑Ethernet‑Adapter stiehlt PC‑Passwörter
Gefälschter USB‑Ethernet‑Adapter stiehlt PC‑Passwörter

USB-Dongle, der einen Ethernet-Adapter vortäuscht

Kurzüberblick

Ein Sicherheitsforscher demonstrierte, wie ein USB‑SoC‑Gerät so modifiziert werden kann, dass es sich als Plug‑and‑Play‑Ethernet‑Adapter ausgibt und das Zielsystem dazu bringt, Zugangsdaten über dieses gefälschte Netzwerk zu übertragen. Der Angreifer muss physischen Zugriff haben und das Opferkonto muss auf dem PC angemeldet sein. Die beschriebenen Tests decken verschiedene Windows‑Versionen und einige macOS‑Versionen ab. Linux wurde nicht geprüft.

Wie der Angriff auf hoher Ebene funktioniert

  • Das manipulierte USB‑Gerät meldet sich als Ethernet/LAN‑Adapter.
  • Das Gerät bietet DHCP, DNS und WPAD‑Antworten an und markiert sich als Standardgateway und Proxy‑Autodiscovery‑Server.
  • Das Zielsystem installiert das vermeintliche Netzwerkgerät, baut daraufhin Netzwerkverbindungen oder Probe‑Anfragen auf und sendet in einigen Fällen gespeicherte bzw. aktive Anmeldeinformationen über das neu konfigurierte Interface.
  • Der Angreifer kann diese Netzwerkpakete auf dem Dongle abfangen und so die übertragenen Anmeldeinformationen erlangen.

Wichtig: Dieser Artikel beschreibt das Angriffsprinzip und Schutzmaßnahmen. Er enthält keine Schritt‑für‑Schritt‑Anleitungen zur Erzeugung oder Verbreitung von Schadsoftware.

Auf welche Systeme wirkt sich das aus?

Getestet wurde laut Veröffentlichung gegen:

  • Windows 98, 2000, XP SP3, 7 SP1, Windows 10 (Home und Enterprise)
  • macOS El Capitan und Mavericks (mit dem Vorbehalt, dass die Ergebnisse von Systemkonfigurationen abhängen können)

Linux wurde nicht getestet. Der Forscher weist darauf hin, dass moderne Betriebssysteme Einschränkungen haben können, welche Gerätetypen im gesperrten Zustand installiert werden dürfen, dass Ethernet/LAN aber oft auf einer Whitelist steht.

Wann der Angriff fehlschlägt (Gegenbeispiele)

  • Systeme mit strenger Treibersignatur und ohne automatische Installation neuer Geräte für gesperrte Sitzungen.
  • Geräte, die USB‑Ports physisch sperren oder an zentral gemanagten Kiosk‑Konfigurationen hängen.
  • Systeme mit Netzwerkrichtlinien, die neue Interfaces isolieren oder kein WPAD/DHCP aus unbekannten Quellen akzeptieren.

Alternativen und Varianten des Angriffs (hohes Niveau)

  • Statt Ethernet‑Spoofing können Angreifer versuchen, als Eingabegerät (HID) zu agieren und Tastatureingaben zu simulieren. Das ist ein anderes, gut bekanntes Risiko.
  • Netzwerkbasierte MITM‑Techniken erreichen ähnliche Ergebnisse, benötigen aber üblicherweise bereits Netzwerkzugang ohne physisches Stecken eines Dongles.

Mini‑Methodologie (nur konzeptionell)

  • Zielsetzung definieren: Anmeldeinformationen exfiltrieren ohne offensichtliche Interaktion mit dem Nutzer.
  • Gerät so erscheinen lassen, dass das OS es als Netzwerkadapter akzeptiert (Gerätetyp/USB‑Descriptor).
  • Netzwerkdienste (DHCP, DNS, WPAD) antworten und das System zum Senden von Anmeldeinformationen bringen.
  • Paketmitschnitt auf dem Gerät auswerten.

Diese Punkte beschreiben lediglich die konzeptionelle Abfolge, nicht die technischen Details zur Umsetzung.

Sicherheits‑Hardening: Sofortmaßnahmen und Checklist

  • Physische Sicherheit: USB‑Ports sperren, insbesondere in öffentlich zugänglichen Bereichen.
  • Whitelisting: Nur genehmigte Geräteklassen und signierte Treiber zulassen.
  • Gerätemanagement: Zentral verwaltete Richtlinien (MDM) für zulässige USB‑Geräte.
  • Netzwerksegmentierung: Neue oder unbekannte Interfaces automatisch in ein isoliertes Quarantäne‑VLAN leiten.
  • WPAD/DHCP‑Sicherheit: WPAD‑Automatik deaktivieren, DNSSEC und DHCP‑Snooping im Netzwerk aktivieren.
  • Benutzer‑Aufklärung: Meldepflicht für unbekannte Hardware an Arbeitsplatzgeräten.

Rollenbasierte Checklisten

IT‑Administrator:

  • Prüfen, welche Gerätetypen bei gesperrtem Bildschirm installiert werden dürfen.
  • Richtlinien für automatische Treiberinstallation konfigurieren.
  • Quarantäne‑VLANs für neu erkannte Interfaces bereitstellen.

Security Officer:

  • Physische Prüfungen und Surveillance für sensible Bereiche planen.
  • USB‑Sperren und Port‑Kontrollen evaluieren.
  • Incident‑Response Playbook um physische Manipulation erweitern.

Endbenutzer / Mitarbeiter:

  • Keine unbekannten USB‑Geräte anschließen.
  • Sperren des Systems bei Verlassen des Arbeitsplatzes.
  • Unbekannte Hardware sofort der IT melden.

Akzeptanzkriterien für Schutzmaßnahmen

  • Automatische Installation von Netzwerktreibern bei gesperrter Sitzung ist deaktiviert oder eingeschränkt.
  • Neue Netzwerkinterfaces werden automatisch isoliert (Quarantäne) bis zur Freigabe durch IT.
  • Überwachungs‑Logs erfassen neu verbundene USB‑Netzwerkgeräte.

Risiken, Einfluss und Aufwand (qualitativ)

  • Einfluss: Hoch, da Zugangsdaten kompromittiert werden können.
  • Aufwand für Angreifer: Mittel (erfordert physische Präsenz und ein modifiziertes Gerät).
  • Aufwand für Verteidigung: Mittel bis gering (Port‑Sperren, Policy‑Änderungen, Schulung).

Datenschutz / rechtliche Hinweise

Jeglicher Versuch, Zugangsdaten Dritter zu erlangen, ist rechtswidrig. Organisationen sollten die beschriebenen Schwachstellen als Risiko behandeln und Maßnahmen zur Einhaltung von Datenschutzanforderungen (z. B. Nachvollziehbarkeit, Zugriffskontrolle) implementieren.

Kurze Checkliste für schnelle Umsetzung im Betrieb

  • USB‑Port‑Sperren prüfen und ggf. Verteiler einsetzen.
  • Gruppenrichtlinien für Gerätinstallation evaluieren (Windows/GPO, MDM für macOS).
  • WPAD‑Autodiscovery deaktivieren, falls nicht benötigt.
  • Netzwerkhardware für DHCP‑Snooping und ARP‑Inspektion konfigurieren.

Glossar (ein Satz pro Begriff)

  • WPAD: Automatische Proxy‑Konfiguration durch Netzwerkanfragen.
  • DHCP: Dienst zur automatischen Zuweisung von IP‑Konfigurationen.
  • Quarantäne‑VLAN: Isoliertes Netzwerksegment für unbekannte oder unsichere Geräte.

Fazit

Ein manipuliertes USB‑Ethernet‑Dongle kann Systeme täuschen und in bestimmten Konfigurationen Anmeldeinformationen abfangen. Die einfachsten und effektivsten Gegenmaßnahmen sind physische Zugriffskontrolle, das Einschränken automatischer Geräteinstallationen und Netzwerkhärtung (Quarantäne für neue Interfaces, WPAD‑Deaktivierung). Organisationen sollten diese Risiken in ihre Sicherheits‑ und Incident‑Response‑Pläne aufnehmen.

Wichtig: Überprüfen Sie regelmäßig Ihre Policy‑Einstellungen und schulen Sie Mitarbeiter, damit unbekannte Hardware sofort gemeldet wird.

Teilen: X/Twitter Facebook LinkedIn Telegram
Autor
Redaktion

Ähnliche Materialien

Google Play auf Huawei installieren — sichere Anleitung
Android

Google Play auf Huawei installieren — sichere Anleitung

WiKID 4.0 Quick-Setup Anleitung
Authentifizierung

WiKID 4.0 Quick-Setup Anleitung

Google+ Hangouts On Air übertragen und aufzeichnen
Streaming

Google+ Hangouts On Air übertragen und aufzeichnen

Tweets kürzen mit Feathr.it
Social Media

Tweets kürzen mit Feathr.it

Cleanfox: Newsletter & Spam in Gmail entfernen
Tools

Cleanfox: Newsletter & Spam in Gmail entfernen

X2Go auf Ubuntu 12.04 mit WiKID 2FA sichern
Sicherheit

X2Go auf Ubuntu 12.04 mit WiKID 2FA sichern