comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Acceso a Windows desde "Pass-the-hash"

  • 1 Respuestas
  • 1371 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Stiuvert

  • *
  • Colaborador
  • *
  • Mensajes: 2668
  • Actividad:
    1.67%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« en: Abril 09, 2012, 06:10:13 pm »
Tradicionalmente se ha considerado que Windows no almacenaba las credenciales de sistema en claro en ningún momento. Ni siquiera en memoria, para evitar que pudiesen ser recuperadas de un equipo comprometido. La propia No tienes permisos para ver links. Registrate o Entra con tu cuenta de Microsoft inducia a ello.

Es por esto que se han popularizado en el mundo del pentesting las técnicas de No tienes permisos para ver links. Registrate o Entra con tu cuenta para poder No tienes permisos para ver links. Registrate o Entra con tu cuenta acceso a otros equipos de la red desde un sistema comprometido sin tener acceso a las credenciales en claro (aprovechando las características de la autenticación NTLM de Windows).

Pero un investigador francés apodado "Gentil Kiwi" ha No tienes permisos para ver links. Registrate o Entra con tu cuenta que esto no es del todo cierto. Veamos porque:

Dentro del sistema LSA (Local Security Authority) de Windows existen una serie de proveedores de autenticación activos por defecto, que podemos listar accediendo a su configuración en el registro: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages



No tienes permisos para ver links. Registrate o Entra con tu cuenta

A primera vista muchos de estos nombres no revelan su utilidad. El más importante es No tienes permisos para ver links. Registrate o Entra con tu cuenta que es el utilizado para los procesos de logon en local si no existe un proceso de autenticación  personalizado. Cuando un usuario accede al equipo el servicio de LSA llama a MSV1_0 para que procese los datos recibidos por GINA (Graphical Identification and Authentication) desde el proceso Winlogon.

Además este proveedor almacena las contraseñas en memoria en forma de hashes, como estaba previsto, de manera que es relativamente seguro. Pero de la lista que hemos visto antes; ¿harán todos lo mismo?

Pues parece ser que al menos 2 de ellos no lo hacen así: tspkg y wdigest

  • Tspkg es un proveedor de servicios de seguridad para conexiones SSO (Single-sign-on) con Terminal Server. Está disponible por defecto en los sistemas Windows Vista y posteriores. 

  • Wdigest es un proveedor de servicios de seguridad para conexiones HTTP que requieran autenticación de tipo Digest. Está disponible por defecto en los sistemas Windows XP y posteriores. 

Ambos almacenan en memoria las credenciales de los usuarios que hayan accedido al sistema en local o mediante escritorio remoto codificadas de forma reversible. Es decir, la contraseña puede ser obtenida en claro sin necesidad de un proceso de cracking.

Aunque no conectemos nunca con servidores que requieran autenticación de tipo Digest o no utilicemos nunca conexiones de escritorio remoto con SSO, tendremos alguno de estos 2 módulos habilitados por defecto y nuestras contraseñas estarán accesibles en memoria.

Para recuperar las credenciales en claro solo es necesario contar con privilegios de Debug sobre el proceso LSASS. Privilegios normalmente disponibles para los usuarios del grupo de administradores.

Podemos comprobarlo con la herramienta que el propio "Gentil Kiwi" nos proporciona: No tienes permisos para ver links. Registrate o Entra con tu cuenta
 



No tienes permisos para ver links. Registrate o Entra con tu cuenta

Esta demostración esta realizada en un sistema Windows 7, pero cualquier Windows XP o posterior sería vulnerable por defecto.

Solo nos queda preguntarnos porque este hecho ha tardado tanto tiempo en salir a la luz. ¿Se ha ocultado intencionadamente esta información por parte de Microsoft? ¿Los investigadores punteros en materia de seguridad tenían guardado este as en la manga? ¿O tal vez nadie se había dado cuenta antes?

Ramón Pinuaga
Dep. Auditoría S21SEC

Desconectado REC

  • *
  • Underc0der
  • Mensajes: 122
  • Actividad:
    0%
  • Reputación 0
  • o.O!
    • Ver Perfil
    • Email
« Respuesta #1 en: Abril 10, 2012, 02:04:28 pm »
Gran aporte! Stiuvert salu2
No tienes permisos para ver links. Registrate o Entra con tu cuenta
No tienes permisos para ver links. Registrate o Entra con tu cuenta

 

¿Te gustó el post? COMPARTILO!



[VIDEO] Cómo hackear contraseña de Windows 10 sin necesidad de software

Iniciado por wizardsec

Respuestas: 11
Vistas: 5666
Último mensaje Junio 08, 2017, 04:01:26 am
por RuidosoBSD
Como conocer los programas y aplicaciones que se inician con Windows.

Iniciado por Stiuvert

Respuestas: 0
Vistas: 1761
Último mensaje Mayo 19, 2012, 08:02:16 am
por Stiuvert
Primera vulnerabilidad 0-day en Windows 8 con Internet Explorer 10

Iniciado por LucaSthefano

Respuestas: 0
Vistas: 1257
Último mensaje Noviembre 18, 2012, 04:27:31 pm
por LucaSthefano
Analizando conexiones activas en Windows con Netstat

Iniciado por Stiuvert

Respuestas: 1
Vistas: 1971
Último mensaje Agosto 12, 2012, 09:03:55 pm
por REC
Windows XP Recovery rogue

Iniciado por LucaSthefano

Respuestas: 0
Vistas: 1236
Último mensaje Junio 07, 2011, 06:40:21 pm
por LucaSthefano