Guida alle tecnologie

Come uno spoofing di un adattatore Ethernet può rubare le password di accesso su PC Windows e Mac

5 min read Sicurezza Aggiornato 19 Oct 2025
Spoofing Ethernet: furto password su Windows e Mac
Spoofing Ethernet: furto password su Windows e Mac

Adattatore USB Ethernet con circuito SoC utilizzato per spoofing

Cosa è successo

Un ricercatore ha modificato il firmware di un dongle USB basato su SoC per emulare un adattatore Ethernet Plug-and-Play. Quando il dispositivo viene inserito in un PC bloccato ma con una sessione utente attiva, il sistema operativo avvia l’installazione del dispositivo di rete. Il dongle si presenta quindi come gateway di rete, server DNS e server WPAD (Web Proxy Auto-Discovery). Tramite queste risposte la macchina vittima prova a consegnare credenziali di rete o proxy, che il dispositivo malevolo cattura.

L’attacco è stato dimostrato su sistemi Windows (da Windows 98 fino a Windows 10, incluse edizioni Home e Enterprise) e su alcune versioni di macOS (El Capitan e Mavericks). L’autore ha usato dispositivi noti nella comunità di sicurezza come USB Armory e Hak5 Turtle.

Come funziona l’attacco — flusso tecnico

  1. L’attaccante collega fisicamente un adattatore USB Ethernet con firmware spoofato.
  2. Il sistema operativo riconosce l’hardware e avvia l’installazione Plug-and-Play del driver.
  3. Il dispositivo spoofato annuncia se stesso come gateway, DNS e server WPAD.
  4. La macchina vittima, cercando configurazione di rete o proxy, invia credenziali o richieste di autenticazione al dispositivo.
  5. Il dispositivo registra le credenziali e le rende disponibili all’attaccante.

Important: l’attacco richiede accesso fisico al dispositivo e una sessione utente già autenticata sul PC. Non è un attacco remoto puro.

Sistemi testati e limiti

  • Sistemi testati con successo: Windows 98, 2000, XP SP3, 7 SP1, 10 (Home ed Enterprise), macOS El Capitan, Mavericks.
  • Sistemi non testati: Linux non incluso nelle prove riportate.
  • Limiti noti: l’autore non è certo che tutte le installazioni di macOS siano vulnerabili; la vulnerabilità potrebbe dipendere da configurazioni locali o policy di sistema.
  • Vincolo principale: accesso fisico e sessione utente autenticata.

Quando l’attacco può fallire

  • Se la macchina ha policy che bloccano l’installazione automatica di nuovi dispositivi USB.
  • Se il sistema richiede elevazione esplicita (UAC o equivalente) per installare driver di rete.
  • Se non c’è una sessione utente autenticata al momento del collegamento.
  • Se le credenziali non vengono inviate dal software client usato sulla macchina (per esempio, client che non usa WPAD o proxy automatico).

Misure di mitigazione rapide per azienda e utenti

  • Imporre policy di gruppo che disabilitano l’installazione automatica di dispositivi USB non autorizzati.
  • Abilitare lo smartcard/token per l’autenticazione quando possibile.
  • Disabilitare WPAD e l’autodiscovery del proxy sui client quando non necessario.
  • Restrizioni fisiche: bloccare porte USB o usare blocchi hardware quando i dispositivi non sono controllati.
  • Inventario e controllo dei dispositivi USB: usare strumenti di MDM/EDR che segnalano nuovi dispositivi.
  • Formare gli utenti a non lasciare workstation incustodite e a segnalare dispositivi sconosciuti.

Playbook rapido per un amministratore

  1. Verificare se le policy di gruppo consentono l’installazione automatica di driver di rete.
  2. Se consentito, applicare criteri che limitano i driver firmati e i dispositivi approvati.
  3. Disabilitare WPAD tramite policy centralizzate o impostazioni browser se non è necessario.
  4. Distribuire EDR/MDM per rilevare e quarantinare dispositivi USB non autorizzati.
  5. Eseguire audit fisici periodici delle postazioni e delle aree comuni.

Checklist per i ruoli

  • Amministratore IT

    • Bloccare installazione automatica di driver
    • Disabilitare WPAD e proxy automatico
    • Implementare controllo dei dispositivi USB
    • Monitorare eventi di installazione hardware

  • Team di Sicurezza

    • Testare l’attacco in ambiente isolato per valutare l’impatto
    • Aggiornare playbook di incident response con scenario di compromissione fisica
    • Preparare procedure di revoca credenziali e controllo danni

  • Utente finale

    • Non lasciare computer incustodati
    • Segnalare dispositivi USB sospetti
    • Usare password e autenticazione a due fattori

Procedura di test sicura (mini-metodologia)

  1. Eseguire test in laboratorio isolato con macchine non produttive.
  2. Usare dispositivi di test e firmware dedicati, non reti di produzione.
  3. Documentare esattamente versione OS, configurazioni di rete e policy usate.
  4. Ripristinare gli host alle immagini pulite dopo il test.

Cosa fare in caso di compromissione

  • Scollegare immediatamente il dispositivo sospetto.
  • Cambiare le credenziali potenzialmente esposte.
  • Condurre analisi forense sull’host e su eventuali log di rete.
  • Verificare accessi anomali o movimenti laterali nella rete.

Aspetti legali e privacy

Questo tipo di attacco implica accesso non autorizzato a credenziali personali. Se applicabile, segnalare l’incidente alle autorità competenti e ai responsabili della protezione dei dati. In ambito GDPR valutare la probabilità di violazione di dati personali e seguire le procedure di notifica quando richiesto.

Glossario in una riga

  • WPAD: protocollo che permette ai client di trovare automaticamente la configurazione del proxy web.

Sintesi finale

Lo spoofing di un adattatore Ethernet USB è una tecnica di attacco fisico efficace contro sistemi che installano automaticamente nuovi dispositivi e che confidano su WPAD o proxy automatici. La mitigazione principale è limitare l’installazione automatica, controllare i dispositivi USB e adottare pratiche di sicurezza fisica e gestionale.

Note: questa guida descrive metodi di difesa e test sicuri. Qualsiasi prova deve essere eseguita solo su sistemi di proprietà o con autorizzazione esplicita.

Condividere: X/Twitter Facebook LinkedIn Telegram
Autore
Redazione

Materiali simili

Installare Google Play su Huawei: guida completa
Guide tecniche

Installare Google Play su Huawei: guida completa

Configurare WiKID 4.0 con Quick-setup
Sicurezza

Configurare WiKID 4.0 con Quick-setup

Hangouts On Air: trasmettere e registrare su YouTube
Streaming

Hangouts On Air: trasmettere e registrare su YouTube

Accorciare tweet velocemente con Feathr.it
Social Media

Accorciare tweet velocemente con Feathr.it

Ripulire Gmail con Cleanfox in pratica
Strumenti

Ripulire Gmail con Cleanfox in pratica

X2Go su Ubuntu 12.04: 2FA con WiKID
Sicurezza

X2Go su Ubuntu 12.04: 2FA con WiKID