14 KiB
Proteções de Credenciais do Windows
Proteções de Credenciais
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- Você trabalha em uma empresa de segurança cibernética? Você quer ver sua empresa anunciada no HackTricks? ou você quer ter acesso à última versão do PEASS ou baixar o HackTricks em PDF? Verifique os PLANOS DE ASSINATURA!
- Descubra A Família PEASS, nossa coleção exclusiva de NFTs
- Adquira o swag oficial do PEASS & HackTricks
- Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-me no Twitter 🐦@carlospolopm.
- Compartilhe suas técnicas de hacking enviando PRs para o repositório hacktricks e para o repositório hacktricks-cloud.
WDigest
O protocolo WDigest foi introduzido no Windows XP e foi projetado para ser usado com o protocolo HTTP para autenticação. A Microsoft tem este protocolo ativado por padrão em várias versões do Windows (Windows XP - Windows 8.0 e Windows Server 2003 - Windows Server 2012), o que significa que senhas em texto simples são armazenadas no LSASS (Local Security Authority Subsystem Service). O Mimikatz pode interagir com o LSASS permitindo que um atacante recupere essas credenciais por meio do seguinte comando:
sekurlsa::wdigest
Este comportamento pode ser desativado/ativado definindo o valor como 1 em UseLogonCredential e Negotiate em HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest.
Se essas chaves de registro não existirem ou o valor for "0", então o WDigest será desativado.
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential
Proteção LSA
A Microsoft em Windows 8.1 e posteriores forneceu proteção adicional para o LSA para impedir que processos não confiáveis possam ler sua memória ou injetar código. Isso impedirá que o mimikatz.exe sekurlsa:logonpasswords
funcione corretamente.
Para ativar essa proteção, você precisa definir o valor RunAsPPL em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA como 1.
reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL
Bypassar
É possível contornar essa proteção usando o driver Mimikatz mimidrv.sys:
Credential Guard
Credential Guard é um novo recurso no Windows 10 (Enterprise e Education edition) que ajuda a proteger suas credenciais em uma máquina contra ameaças como pass the hash. Isso funciona por meio de uma tecnologia chamada Virtual Secure Mode (VSM), que utiliza extensões de virtualização da CPU (mas não é uma máquina virtual real) para fornecer proteção a áreas de memória (você pode ouvir isso referido como Segurança Baseada em Virtualização ou VBS). O VSM cria uma "bolha" separada para processos chave que estão isolados dos processos regulares do sistema operacional, até mesmo o kernel, e somente processos confiáveis específicos podem se comunicar com os processos (conhecidos como trustlets) no VSM. Isso significa que um processo no sistema operacional principal não pode ler a memória do VSM, nem mesmo processos do kernel. A Autoridade de Segurança Local (LSA) é um dos trustlets no VSM, além do processo padrão LSASS que ainda é executado no sistema operacional principal para garantir o suporte a processos existentes, mas está realmente atuando como um proxy ou stub para se comunicar com a versão no VSM, garantindo que as credenciais reais sejam executadas na versão no VSM e, portanto, estejam protegidas contra ataques. O Credential Guard deve ser ativado e implantado em sua organização, pois não é habilitado por padrão.
De https://www.itprotoday.com/windows-10/what-credential-guard
Mais informações e um script PS1 para habilitar o Credential Guard podem ser encontrados aqui.
Nesse caso, Mimikatz não pode fazer muito para contornar isso e extrair os hashes do LSASS. Mas você sempre pode adicionar seu SSP personalizado e capturar as credenciais quando um usuário tenta fazer login em texto claro.
Mais informações sobre SSP e como fazer isso aqui.
O Credential Guard pode ser ativado de diferentes maneiras. Para verificar se ele foi habilitado usando o registro, você pode verificar o valor da chave LsaCfgFlags em HKLM\System\CurrentControlSet\Control\LSA. Se o valor for "1", ele está ativo com bloqueio UEFI, se "2" estiver ativo sem bloqueio e se "0" não estiver habilitado.
Isso não é suficiente para habilitar o Credential Guard (mas é um forte indicador).
Mais informações e um script PS1 para habilitar o Credential Guard podem ser encontrados aqui.
reg query HKLM\System\CurrentControlSet\Control\LSA /v LsaCfgFlags
Modo RestrictedAdmin do RDP
Com o Windows 8.1 e o Windows Server 2012 R2, novos recursos de segurança foram introduzidos. Um desses recursos de segurança é o modo Restricted Admin para RDP. Este novo recurso de segurança é introduzido para mitigar o risco de ataques de pass the hash.
Quando você se conecta a um computador remoto usando o RDP, suas credenciais são armazenadas no computador remoto que você acessou via RDP. Geralmente, você está usando uma conta poderosa para se conectar a servidores remotos, e ter suas credenciais armazenadas em todos esses computadores é uma ameaça à segurança.
Usando o modo Restricted Admin para RDP, quando você se conecta a um computador remoto usando o comando mstsc.exe /RestrictedAdmin, você será autenticado no computador remoto, mas suas credenciais não serão armazenadas nesse computador remoto, como teriam sido no passado. Isso significa que se um malware ou até mesmo um usuário mal-intencionado estiver ativo nesse servidor remoto, suas credenciais não estarão disponíveis nesse servidor de desktop remoto para o malware atacar.
Observe que, como suas credenciais não estão sendo salvas na sessão RDP, se você tentar acessar recursos de rede, suas credenciais não serão usadas. A identidade da máquina será usada em vez disso.
De aqui.
Credenciais em cache
As credenciais de domínio são usadas pelos componentes do sistema operacional e são autenticadas pela Autoridade de Segurança Local (LSA). Normalmente, as credenciais de domínio são estabelecidas para um usuário quando um pacote de segurança registrado autentica os dados de logon do usuário. Esse pacote de segurança registrado pode ser o protocolo Kerberos ou NTLM.
O Windows armazena as últimas dez credenciais de login de domínio no caso de o controlador de domínio ficar offline. Se o controlador de domínio ficar offline, um usuário ainda poderá fazer login em seu computador. Esse recurso é principalmente para usuários de laptops que não fazem login regularmente no domínio da empresa. O número de credenciais que o computador armazena pode ser controlado pela seguinte chave do registro ou via política de grupo:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT
As credenciais são ocultadas dos usuários normais, inclusive das contas de administrador. O usuário SYSTEM é o único usuário que tem privilégios para visualizar essas credenciais. Para que um administrador possa visualizar essas credenciais no registro, ele deve acessar o registro como um usuário SYSTEM.
As credenciais em cache são armazenadas no registro no seguinte local do registro:
HKEY_LOCAL_MACHINE\SECURITY\Cache
Extração do Mimikatz: lsadump::cache
De aqui.
Usuários Protegidos
Quando o usuário logado é um membro do grupo de Usuários Protegidos, as seguintes proteções são aplicadas:
- A delegação de credenciais (CredSSP) não armazenará em cache as credenciais em texto simples do usuário, mesmo quando a configuração de política de grupo Permitir a delegação de credenciais padrão estiver habilitada.
- A partir do Windows 8.1 e do Windows Server 2012 R2, o Windows Digest não armazenará em cache as credenciais em texto simples do usuário, mesmo quando o Windows Digest estiver habilitado.
- O NTLM não armazenará em cache as credenciais em texto simples do usuário ou a função unidirecional NT (NTOWF).
- O Kerberos não criará mais chaves DES ou RC4. Além disso, ele não armazenará em cache as credenciais em texto simples do usuário ou as chaves de longo prazo após a aquisição do TGT inicial.
- Um verificador em cache não é criado no login ou desbloqueio, portanto, o login offline não é mais suportado.
Após a adição da conta do usuário ao grupo de Usuários Protegidos, a proteção começará quando o usuário fizer login no dispositivo. De aqui.
Windows Server 2003 RTM | Windows Server 2003 SP1+ | Windows Server 2012, |
Windows Server 2016 |
---|---|---|---|
Account Operators | Account Operators | Account Operators | Account Operators |
Administrator | Administrator | Administrator | Administrator |
Administrators | Administrators | Administrators | Administrators |
Backup Operators | Backup Operators | Backup Operators | Backup Operators |
Cert Publishers | |||
Domain Admins | Domain Admins | Domain Admins | Domain Admins |
Domain Controllers | Domain Controllers | Domain Controllers | Domain Controllers |
Enterprise Admins | Enterprise Admins | Enterprise Admins | Enterprise Admins |
Enterprise Key Admins | |||
Key Admins | |||
Krbtgt | Krbtgt | Krbtgt | Krbtgt |
Print Operators | Print Operators | Print Operators | Print Operators |
Read-only Domain Controllers | Read-only Domain Controllers | ||
Replicator | Replicator | Replicator | Replicator |
Schema Admins | Schema Admins | Schema Admins | Schema Admins |
Server Operators | Server Operators | Server Operators | Server Operators |
Tabela de aqui.