Come può Windows 10 non avere la password in memoria?

6

Ho leggi che Windows 10 non conserva la password in memoria dal creatore di mimikatz:

Starting with 8.x and 10, by default, there is no password in memory.

Exceptions:

  • When DC is/are unreachable, the kerberos provider keeps passwords for future negocation ;
  • When HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest, UseLogonCredential (DWORD) is set to 1, the wdigest provider keeps passwords ;
  • When values in Allow* in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Credssp\PolicyDefaults or HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation, the tspkgs / CredSSP provider keeps passwords.

Of course, not when using Credential Guard.

Come è possibile? Come può Windows mantenere la password fuori dalla memoria?

    
posta Peter11 23.05.2016 - 19:21
fonte

2 risposte

8

Una ricerca rapida ha mostrato il link sottostante. Hanno creato una nuova tecnologia chiamata CredentialGuard, che isola i segreti in ambienti sicuri virtualizzati piuttosto che archiviare tutto in LSA come in passato. Mimikatz non può più semplicemente scaricare la memoria del processo lsass.exe e analizzare il contenuto. Sono ancora in un po 'di memoria , in senso stretto, ma non in memoria a cui possiamo accedere facilmente.

Altro: link

    
risposta data 23.05.2016 - 20:59
fonte
3

A partire da Windows 8.1, il testo semplice della password di un utente è in genere non viene più mantenuto in memoria . (Se non hai familiarità con Wdigest, sì, Windows lo faceva davvero. Per impostazione predefinita, lo fa ancora in Windows 7.) Quindi, se riesci a scaricare i crediti su un computer Windows 8.1, otterrai il Gli hash NTLM v.2 o le informazioni sui ticket Kerberos degli utenti loggati, ma in realtà non si ottiene il testo in chiaro della / e propria / e password / i. Questo, credo, è ciò a cui si riferisce il testo che hai citato. Naturalmente, dal momento che è possibile (almeno in molti scenari) semplicemente passare l'hash o passare il biglietto in ogni caso senza dover effettivamente accedere al testo in chiaro della password, l'effetto pratico di questo avanzamento è stato meno che sismico . E, come mostra la sezione di testo che hai notato, anche con Windows 8.1 ci sono delle impostazioni di autenticazione che un amministratore può abilitare che porterà al testo in chiaro delle password ancora detenute nell'LSA. Tuttavia, poiché alcuni progressi sono migliori di nessun progresso, questo è stato un gradito passo avanti.

Credential Guard, d'altra parte, è una cosa nuova e diversa. 0rigien l'ha brevemente descritta e collegata a un buon articolo di TechNet sopra. Quindi basterà dire qui che dove è in vigore - esiste solo su Windows 10 e solo nelle versioni implementate dall'azienda del sistema operativo - e configurato correttamente impedisce a un tester di penna o a un attaccante di essere in grado di scaricare crediti dalla memoria a tutti. La funzione fa uso di ciò che i termini Microsoft sicurezza basata sulla virtualizzazione in Windows 10 per mettere essenzialmente l'archivio di memoria delle credenziali LSA all'interno di una macchina virtuale molto piccola e molto snella (per semplificare eccessivamente le cose). Una macchina virtuale che, grazie alle tecnologie che sono diventate standard nei recenti processori Intel e AMD, nemmeno il codice in esecuzione con privilegi di amministratore / sistema è in grado di accedere. Abbastanza elegante.

Questa è la teoria, comunque. Finora, nella storia iniziale di Windows 10, non sono a conoscenza di alcun bypass o vulnerabilità sfruttata trovata per consentire il dumping delle credenziali in cui Credential Guard è attivo e autorizzato a lavorare con le impostazioni consigliate. (Tuttavia, è mia opinione che se un amministratore riattiva Wdigest o abilita l'autenticazione delegata CredSSP sarà comunque disattivato in modo efficace. Quindi pensaci bene prima di fare una di queste cose.) Ma vedremo cosa neutralizza i ricercatori di sicurezza e i cattivi ragazzi si inventano negli anni a venire. E che cosa controbilancia l'idea di Microsoft.

    
risposta data 02.11.2016 - 06:30
fonte

Leggi altre domande sui tag