Recupera la password di un account di accesso utente del servizio Windows

5

Quando si imposta un servizio Windows, si specifica un account utente da utilizzare per l'autenticazione, oltre alla password per quell'utente. Nelle linee guida per la selezione dell'account utente , Microsoft afferma che quando si utilizza un account utente di dominio,

Be aware that even though the service control manager (SCM) stores the password in a secure portion of the registry, it is nevertheless subject to attack.

Non fanno menzione di come sarebbe un simile attacco. Presumo che uno vorrebbe avere privilegi amministrativi sul sistema operativo che ospita il servizio, e sembrerebbe che la password venga utilizzata solo all'avvio del servizio, in modo che il riavvio possa svolgere un ruolo.

Quindi, la domanda è: cosa significa Microsoft quando affermano che la password di un utente del dominio è soggetta ad attacco? E ci sono differenze sostanziali tra le versioni (più recenti) del sistema operativo?

    
posta fuglede 24.01.2018 - 20:57
fonte

2 risposte

3

Un metodo per accedere ai segreti di LSA è documentato qui .

In poche parole:

  • Chiama la funzione Enable-TSDuplicateToken.

  • Copia le chiavi di registro esistenti su un'altra chiave temporanea.

  • User PowerShell o un altro framework per chiamare le funzioni per leggere i segreti.

Puoi anche utilizzare lo strumento NirSoft LSASecretsView .

In effetti devi avere già i privilegi di amministratore sul sistema e, per quanto ne so, non ci sono differenze nelle versioni recenti di Windows (a parte le attenuazioni che già McMatty ha indicato).

    
risposta data 26.01.2018 - 06:45
fonte
0

Quindi la prima cosa è che questo account avrà una coppia di credenziali che, se estratta, garantirà un ulteriore accesso alla rete. Alcune delle macchine possono essere configurate per consentire agli utenti di dominio di accedere alle macchine o questo account ha accesso a una macchina che un utente malintenzionato sta tentando di raggiungere. Quindi questa identità dell'account di servizio ora ha accesso ad altre risorse.

Attacchi

I seguenti sono solo attacchi contro la macchina e l'account - gli hash possono anche essere intercettati e crackati offline o utilizzati in attacchi pass-the-hash

Le credenziali dell'account utente possono anche essere impostate su una persona che sceglie una password debole e ipotetica e, in base alle impostazioni di blocco (se abilitate) potrebbe essere forzata bruta.

Dati i diritti di amministratore o di sistema, un utente malintenzionato può tentare di eseguire mimikatz per estrarre le credenziali dall'account del servizio.

Mitigations

Per un servizio che richiede autorizzazioni ad altre risorse di dominio se è possibile utilizzare un account di servizio gestito - questo elimina l'aspetto della password in quanto ora è gestito e ruotato dal computer.

link

Protezione delle credenziali su Windows 10 e Server 2016 . Rimuoverà l'abilità di mimikatz e altri attacchi basati sulla memoria per estrarre le credenziali da lsa.

link

    
risposta data 24.01.2018 - 22:38
fonte

Leggi altre domande sui tag