Windows memorizza gli hash (NTLM) delle password degli utenti locali nell'hive SAM
. Avviando da un sistema live (per esempio), non si possono solo estrarre quegli hash per cracking offline, ma semplicemente sostituire l'hash con quello di una password conosciuta (ad esempio, chntpw
in Kali Linux è uno strumento che eccelle in questo compito). Allo stesso modo, si può trasformare un utente normale in un utente amministratore e abilitare / disabilitare gli utenti. Fin qui, tutto bene.
In modo simile, ma diverso, gli hash delle password degli account di dominio degli utenti che hanno precedentemente effettuato l'accesso sul computer sono memorizzati nell'hive SECURITY
in modo che un utente possa effettuare nuovamente il login anche quando sono fuori dalla rete . Strumenti come cachedump
possono estrarre quegli hash per cracking offline. Tuttavia, a causa del diverso algoritmo di hash utilizzato, la maggior parte degli strumenti (tutti?) Che possono sostituire gli hash in SAM
non possono fare lo stesso in SECURITY
.
Ora la mia domanda: è possibile sostituire l'hash della password memorizzata nella cache di un utente di dominio con quella di una password conosciuta, per poi riavviare il sistema e accedere con la password conosciuta (bonus punti per le risposte specifiche per Windows 10, nel caso ci siano differenze rispetto alle versioni precedenti)? Questo ovviamente presuppone che il dispositivo sia fuori dalla rete, quindi Windows non può controllare la password online con il controller di dominio.