Guia de tecnologias

Como falsificar um adaptador Ethernet permite capturar senhas de login em PCs Windows e Mac OS

6 min read Segurança Atualizado 19 Oct 2025
Falsificação de adaptador Ethernet rouba senhas de login
Falsificação de adaptador Ethernet rouba senhas de login

Dispositivo USB em forma de adaptador Ethernet conectado a um computador

O que aconteceu

Rob Fuller publicou um blog mostrando um método simples para modificar o firmware de um dongle USB SoC (System on Chip) e fazê‑lo se passar por um adaptador Ethernet Plug-and-Play. Ao ser reconhecido pelo sistema, o dispositivo anuncia-se como gateway de rede, servidor DNS e servidor WPAD (Web Proxy Auto-Discovery). Algumas máquinas automaticamente tentam usar essa configuração e, nesse processo, enviam credenciais que podem ser capturadas pelo dispositivo.

O pesquisador testou o ataque com sucesso em várias versões do Windows (Windows 98, 2000, XP SP3, 7 SP1, Windows 10 Home e Enterprise) e em macOS El Capitan e Mavericks. Linux não foi testado. Fuller notou que, em teoria, sistemas mais novos deveriam restringir instalação de certos dispositivos quando o PC está bloqueado, mas a lista branca para Ethernet/LAN ainda permite a instalação em muitos casos.

Como funciona, em termos simples

  • O atacante modifica o firmware de um dongle USB SoC (ex.: USB Armory, Hak5 Turtle).
  • O dongle se apresenta como um adaptador Ethernet Plug-and-Play.
  • O sistema alvo instala o adaptador mesmo quando bloqueado em muitos cenários.
  • O dispositivo anuncia-se como gateway/DNS/WPAD.
  • O sistema tenta descobrir proxies e enviar tráfego de rede; em alguns fluxos, credenciais são repassadas.
  • O atacante captura esse tráfego e extrai as credenciais.

Requisitos para o ataque

  • Acesso físico ao computador alvo para conectar o dongle USB.
  • Um utilizador já autenticado ou sessão que permita envio de credenciais ao inserir o dispositivo (alguns fluxos requerem conta ativa no sistema remoto).
  • Um dongle USB com SoC programável (por exemplo, USB Armory, Hak5 Turtle) e firmware modificado.

Limitações e incertezas

  • Não foi testado em Linux; comportamento pode variar entre distribuições e configurações.
  • Fuller não tem certeza se os resultados em macOS se aplicam a todas as configurações de utilizadores finais ou apenas ao ambiente de teste dele.
  • Políticas de segurança corporativas (restrições de instalação de drivers, whitelisting, bloqueio USB) reduzem o risco.
  • Sem acesso físico, o ataque não é aplicável remotamente.

Importante: o ataque depende do sistema aceitar e usar as configurações de rede fornecidas pelo dispositivo falso. Se a máquina ignorar a interface ou exigir autorização administrativa, o ataque falhará.

Por que os sistemas aceitam o dispositivo

Muitos sistemas operacionais priorizam a experiência Plug-and-Play: ao detectar um adaptador de rede novo, o SO tenta instalar drivers e configurar a interface para que o utilizador tenha conectividade imediata. Protocolos como WPAD e a resolução DNS automática podem expor locais onde credenciais de proxy ou autenticações NTLM/Negotiate são solicitadas e, se mal configurados, podem fazer com que o cliente envie hashes ou credenciais ao servidor malicioso.

Demonstração e dispositivos usados

Fuller demonstrou o ataque usando o USB Armory e o Hak5 Turtle. Em vídeo, ele mostra o ataque contra uma máquina virtual Windows 10 bloqueada, mas com usuário autenticado.

Mitigações e endurecimento (guia prático)

  • Desative instalação automática de dispositivos USB ou limite a instalação a dispositivos aprovados via políticas de grupo (GPO) em ambientes Windows.
  • Bloqueie portas USB fisicamente em máquinas de alta sensibilidade ou use bloqueadores de porta mecânicos.
  • Habilite listas brancas de drivers e desative a instalação de hardware não administrado.
  • Desative WPAD automático e configure proxies manualmente em ambientes corporativos.
  • Aplique segmentação de rede: evite que interfaces recém-inseridas tenham acesso imediato a serviços sensíveis.
  • Use autenticação multifator (MFA) para reduzir impacto de credenciais obtidas localmente.

Checklist para administradores

  • Verificar políticas de instalação de hardware e aplicar GPO para bloquear instalações não autorizadas.
  • Auditar permissões de instalação de drivers em máquinas endpoint.
  • Desabilitar WPAD em navegadores e políticas centrais quando não for necessário.
  • Treinar utilizadores a não deixar máquinas desbloqueadas e a reportar dispositivos USB encontrados.

Playbook de incidente (passos imediatos ao detectar ataque)

  1. Desconectar fisicamente o dispositivo suspeito.
  2. Isolar a máquina da rede (modo avião ou desconectar cabo/wi‑fi).
  3. Alterar credenciais possivelmente expostas e forçar reset de tokens afetados.
  4. Coletar logs locais e de rede para análise forense.
  5. Executar varredura de malware e integridade do sistema.
  6. Revisar políticas de instalação de dispositivos e aplicar correções.

Quando esse método falha (exemplos)

  • Sistemas com instalação automática de drivers desabilitada.
  • Ambientes que exigem direitos administrativos para instalar interfaces de rede.
  • Máquinas que não têm ninguém autenticado ou que são bloqueadas por políticas que previnem instalação de hardware.
  • Redes que isolam novas interfaces em uma VLAN sem acesso a recursos de autenticação.

Alternativas e abordagens relacionadas

  • Ataques semelhantes usam Raspberry Pi ou dispositivos de BadUSB para simular keyboards e executar comandos. Estes exigem cenários e privilégios diferentes.
  • Simular um ponto de acesso Wi‑Fi malicioso (EvilAP) também pode capturar credenciais, porém é remoto e depende de o utilizador ligar‑se à rede.

Modelo mental rápido

Pense no ataque assim: “o computador confia em algo que parece uma rede; essa confiança é explorada para fazer o computador revelar segredos.” Proteções eficientes quebram essa cadeia de confiança em pontos críticos: instalação de hardware, configuração de rede automática e envio de credenciais.

Glossário rápido

  • SoC: System on Chip, um microcontrolador com CPU, memória e interfaces integradas.
  • WPAD: Web Proxy Auto-Discovery, protocolo que permite a descoberta automática de proxies na rede.
  • Plug-and-Play: mecanismo do SO para detectar e instalar automaticamente hardware novo.

Resumo

Este ataque mostra que interfaces físicas ainda são vetores importantes de risco. Bloquear instalação automática, desabilitar WPAD quando não necessário e exigir controle administrativo para drivers reduz substancialmente a superfície de ataque. Para defender, combine políticas técnicas com conscientização dos utilizadores.

Notas finais

  • Este artigo é informativo e foca em mitigação e segurança. A exploração descrita requer acesso físico e não substitui boas práticas de segurança como MFA e políticas de gerenciamento de endpoints.
Compartilhar: X/Twitter Facebook LinkedIn Telegram
Autor
Edição

Materiais semelhantes

Instalar Google Play em celulares Huawei
Android

Instalar Google Play em celulares Huawei

Configurar WiKID 4.0 com Quick-setup
Autenticação

Configurar WiKID 4.0 com Quick-setup

Como transmitir e gravar Hangouts On Air
Comunicação

Como transmitir e gravar Hangouts On Air

Encurtar tweets com Feathr.it: guia rápido
Redes Sociais

Encurtar tweets com Feathr.it: guia rápido

Limpar Gmail e cancelar newsletters com Cleanfox
Produtividade

Limpar Gmail e cancelar newsletters com Cleanfox

X2Go + WiKID: autenticação 2FA no Ubuntu Precise
Segurança

X2Go + WiKID: autenticação 2FA no Ubuntu Precise