comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Acceso a Windows desde "Pass-the-hash"

  • 1 Respuestas
  • 1336 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Stiuvert

  • *
  • Staff
  • *
  • Mensajes: 2666
  • Actividad:
    6.67%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« en: Abril 09, 2012, 06:10:13 pm »
Tradicionalmente se ha considerado que Windows no almacenaba las credenciales de sistema en claro en ningún momento. Ni siquiera en memoria, para evitar que pudiesen ser recuperadas de un equipo comprometido. La propia You are not allowed to view links. Register or Login de Microsoft inducia a ello.

Es por esto que se han popularizado en el mundo del pentesting las técnicas de You are not allowed to view links. Register or Login para poder You are not allowed to view links. Register or Login acceso a otros equipos de la red desde un sistema comprometido sin tener acceso a las credenciales en claro (aprovechando las características de la autenticación NTLM de Windows).

Pero un investigador francés apodado "Gentil Kiwi" ha You are not allowed to view links. Register or Login que esto no es del todo cierto. Veamos porque:

Dentro del sistema LSA (Local Security Authority) de Windows existen una serie de proveedores de autenticación activos por defecto, que podemos listar accediendo a su configuración en el registro: HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages



You are not allowed to view links. Register or Login

A primera vista muchos de estos nombres no revelan su utilidad. El más importante es You are not allowed to view links. Register or Login que es el utilizado para los procesos de logon en local si no existe un proceso de autenticación  personalizado. Cuando un usuario accede al equipo el servicio de LSA llama a MSV1_0 para que procese los datos recibidos por GINA (Graphical Identification and Authentication) desde el proceso Winlogon.

Además este proveedor almacena las contraseñas en memoria en forma de hashes, como estaba previsto, de manera que es relativamente seguro. Pero de la lista que hemos visto antes; ¿harán todos lo mismo?

Pues parece ser que al menos 2 de ellos no lo hacen así: tspkg y wdigest

  • Tspkg es un proveedor de servicios de seguridad para conexiones SSO (Single-sign-on) con Terminal Server. Está disponible por defecto en los sistemas Windows Vista y posteriores. 

  • Wdigest es un proveedor de servicios de seguridad para conexiones HTTP que requieran autenticación de tipo Digest. Está disponible por defecto en los sistemas Windows XP y posteriores. 

Ambos almacenan en memoria las credenciales de los usuarios que hayan accedido al sistema en local o mediante escritorio remoto codificadas de forma reversible. Es decir, la contraseña puede ser obtenida en claro sin necesidad de un proceso de cracking.

Aunque no conectemos nunca con servidores que requieran autenticación de tipo Digest o no utilicemos nunca conexiones de escritorio remoto con SSO, tendremos alguno de estos 2 módulos habilitados por defecto y nuestras contraseñas estarán accesibles en memoria.

Para recuperar las credenciales en claro solo es necesario contar con privilegios de Debug sobre el proceso LSASS. Privilegios normalmente disponibles para los usuarios del grupo de administradores.

Podemos comprobarlo con la herramienta que el propio "Gentil Kiwi" nos proporciona: You are not allowed to view links. Register or Login
 



You are not allowed to view links. Register or Login

Esta demostración esta realizada en un sistema Windows 7, pero cualquier Windows XP o posterior sería vulnerable por defecto.

Solo nos queda preguntarnos porque este hecho ha tardado tanto tiempo en salir a la luz. ¿Se ha ocultado intencionadamente esta información por parte de Microsoft? ¿Los investigadores punteros en materia de seguridad tenían guardado este as en la manga? ¿O tal vez nadie se había dado cuenta antes?

Ramón Pinuaga
Dep. Auditoría S21SEC

Desconectado REC

  • *
  • Underc0der
  • Mensajes: 122
  • Actividad:
    0%
  • Reputación 0
  • o.O!
    • Ver Perfil
    • Email
« Respuesta #1 en: Abril 10, 2012, 02:04:28 pm »
Gran aporte! Stiuvert salu2
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

 

¿Te gustó el post? COMPARTILO!



[VIDEO] Cómo hackear contraseña de Windows 10 sin necesidad de software

Iniciado por wizardsec

Respuestas: 11
Vistas: 5204
Último mensaje Junio 08, 2017, 04:01:26 am
por RuidosoBSD
Como conocer los programas y aplicaciones que se inician con Windows.

Iniciado por Stiuvert

Respuestas: 0
Vistas: 1662
Último mensaje Mayo 19, 2012, 08:02:16 am
por Stiuvert
Analizando conexiones activas en Windows con Netstat

Iniciado por Stiuvert

Respuestas: 1
Vistas: 1917
Último mensaje Agosto 12, 2012, 09:03:55 pm
por REC
Primera vulnerabilidad 0-day en Windows 8 con Internet Explorer 10

Iniciado por LucaSthefano

Respuestas: 0
Vistas: 1211
Último mensaje Noviembre 18, 2012, 04:27:31 pm
por LucaSthefano
Webcast: Windows 8 - Seguridad

Iniciado por Kodeinfect

Respuestas: 1
Vistas: 1179
Último mensaje Abril 29, 2013, 06:28:31 am
por D4rkC0d3r