Bypassare la password di Windows 10 con il trucco Utilman.exe - risolto?

7

Recentemente mi sono imbattuto in un laptop bloccato con SO Windows 10 (in realtà suppongo che sia stato aggiornato da Windows 7 se questo è importante). Il mio collega ha utilizzato questo computer qualche tempo fa e ha perso login e password, quindi ora non possiamo accedere a questo computer.

Ovviamente siamo in grado di avviarlo da un'unità esterna e copiare tutti i dati necessari, quindi non è un problema.

Mi sono ricordato del vecchio trucco popolare con la commutazione di cmd.exe con Utilman.exe (o osk.exe o sethc.exe) per eseguire cmd e cambiare la password dell'utente. Ma quando ho provato a farlo (eseguo il cmd dalle utility di riparazione del sistema), non sono riuscito a trovare quei file per passare a cmd.exe. Non sono stati utilizzati utilman.exe, no osk.exe, no sethc.exe in Windows / system32 / né altri cataloghi.

Ho anche provato questo tutorial con la manipolazione del registro senza effetti.

Quindi mi chiedo se le vulnerabilità di Windows siano state corrette? O forse questi strumenti che compaiono sulla schermata di accesso sono nascosti o caricati in un modo diverso ora?

    
posta d324223 09.02.2017 - 16:04
fonte

4 risposte

3

Non penso che questo metodo di accesso alternativo sia stato rimosso o modificato nella maggior parte delle versioni di Windows 10. E anche se tali file eseguibili sono stati cancellati in modo ingannevole per cercare di impedirne l'utilizzo a tale scopo, è sufficiente creare degli eseguibili con questi nomi quel punto su cmd.exe funzionerebbe ancora senza sforzi aggiuntivi (che potrebbero poi essere invertiti, una volta che l'attaccante ha accesso diretto al filesystem (come al solito).

Ho campionato cinque sistemi: due dei quali erano installazioni recenti e tre di questi erano aggiornamenti (uno da Windows 8.1, due da Windows 7). Tutti hanno sethc.exe , Utilman.exe e osk.exe in C:\Windows\system32 .

L'installazione di Windows 10 sembra essere non standard in qualche modo. Sarei molto interessato a conoscere altri utenti che hanno la stessa configurazione del tuo, per cercare di determinare cosa hanno in comune.

    
risposta data 01.01.2018 - 19:17
fonte
2

So I'm wondering if this Windows vulnerabilities were fixed?

È bene sapere che questa non è una vulnerabilità, anche se apparentemente lo è. Microsoft TechNet pubblica le "Dieci leggi di sicurezza immutabili" e in questo caso si applicano le leggi due e tre, che dichiarano rispettivamente:

Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore.

Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.

La legge n. 3 si applica per ottenere l'accesso al prompt dei comandi e la legge n. 2 si applica dopo aver fatto # 3 (sostituendo sethc.exe con cmd.exe ).

Per quanto riguarda se sethc.exe , utilman.exe , osk.exe , ... e il trucco Opzioni di esecuzione file immagine possono essere utilizzati in Windows 10, posso accedere a tutte e quattro queste opzioni in entrambi i build 17063.1000 (Insider Anteprima) e 16299.125 (Aggiornamento del creatore). Anche se non sono sicuro al 100% delle altre versioni, credo che non ci siano differenze nella prima versione di Windows 10.

È possibile che tu abbia effettuato l'accesso all'unità sbagliata. Spesso durante l'avvio nell'ambiente di installazione, agli hard disk viene assegnata una lettera diversa (di solito ho ottenuto D: ).

    
risposta data 01.01.2018 - 23:22
fonte
1

Mi sono imbattuto nello stesso problema l'altro giorno e ho scoperto che questa vulnerabilità era stata risolta almeno nell'ultimo build di Windows 10.

Dopo aver estratto da alcuni risultati di ricerca, ho scoperto che è molto più semplice reimpostare la password modificando il database SAM. Non è richiesta alcuna password nella schermata di accesso dopo un reset. Uno dei free utilites per farlo è Offline Windows Password & Registry Editor di Pogostick.

    
risposta data 09.10.2018 - 10:56
fonte
1

Non c'è niente "corretto" poiché non c'è nulla di rotto. Questa non è vulnerabilità. Se si lascia l'unità non crittografata, è soggetta a manipolazione. Tuttavia, c'è stato un cambiamento: il trucco utilman non funziona più su macchine Win10 che usano Windows Defender come soluzione AV, dal momento che Microsoft ha recentemente iniziato a rilevare questo metodo. Dal settembre 2018, è necessario utilizzare altri modi. Tuttavia, esiste ancora la possibilità di utilizzare il vecchio metodo se si è un dattilografo veloce: avviare la macchina in modalità provvisoria (tenere premuto MAIUSC mentre si fa clic sul riavvio e selezionare le opzioni di avvio avanzate, quindi F4 per la modalità sicura). In modalità provvisoria, il defender inizia poco dopo, il che consente di utilizzare il metodo per circa 30 secondi. Basta usare questa fodera, quando al prompt dei comandi: amministratore utente netto / newpass attivo Successivamente, puoi accedere con l'amministratore dell'account e la password newpass.

Il riferimento è il mio thread qui: link

    
risposta data 05.11.2018 - 09:33
fonte

Leggi altre domande sui tag