Recuperar la contraseña de una cuenta de inicio de sesión de usuario de servicio de Windows

4

Al configurar un servicio de Windows, uno especifica una cuenta de usuario para usar para la autenticación, así como la contraseña para ese usuario. En sus directrices para la selección de cuentas de usuario , Microsoft declara que al usar una cuenta de usuario de dominio,

  

Tenga en cuenta que aunque el administrador de control de servicios (SCM) almacena la contraseña en una parte segura del registro, está sujeto a ataques.

No hacen mención de cómo sería un ataque de este tipo. Supongo que uno desearía tener privilegios administrativos en el sistema operativo que aloja el servicio, y es parecería que la contraseña solo se usa cuando se inicia el servicio, por lo que reiniciarla podría desempeñar un papel.

Entonces, la pregunta es: ¿qué quiere decir Microsoft cuando dicen que la contraseña de un usuario de dominio está sujeta a ataques? Y, ¿hay diferencias sustanciales entre las versiones (más recientes) del sistema operativo?

    
pregunta fuglede 24.01.2018 - 20:57
fuente

2 respuestas

2

Se documenta un método para acceder a los secretos LSA aquí .

En pocas palabras:

  • Llame a la función Enable-TSDuplicateToken.

  • Copie las claves de registro existentes en otra clave temporal.

  • User Powershell u otro marco para llamar a las funciones para leer los secretos.

También puede utilizar la herramienta NirSoft LSASecretsView .

De hecho, es necesario que ya tenga privilegios de administrador en el sistema, y que yo sepa, no hay diferencias en las versiones recientes de Windows (aparte de las mitigaciones que McMatty ya señaló).

    
respondido por el Royce Williams 26.01.2018 - 06:45
fuente
0

Entonces, lo primero es que esta cuenta tendrá un par de credenciales que, si se extrae, otorgará acceso adicional a la red. Es posible que algunas de sus máquinas estén configuradas para permitir que el Usuario del dominio inicie sesión en las máquinas o esta cuenta tiene acceso a una máquina a la que un atacante intenta acceder. Así que esta identidad de cuenta de servicio ahora tiene acceso a otros recursos.

Ataques

Los siguientes son solo ataques contra la máquina y la cuenta: los hash también se pueden interceptar y descifrar sin conexión o se pueden usar en los ataques de paso-hash

Las credenciales de una cuenta de usuario también pueden configurarse como una persona que elige una contraseña difícil de adivinar y, en función de las configuraciones de bloqueo (si están habilitadas), podría ser de fuerza bruta.

Dados los derechos de administrador o sistema, un atacante puede intentar ejecutar mimikatz para extraer las credenciales de la cuenta de servicio.

Mitigaciones

Para un servicio que requiere permisos para otros recursos de dominio si puede usar una cuenta de servicio administrada, esto elimina el aspecto de la contraseña, ya que ahora la computadora administra y rota.

enlace

Protección de credenciales en Windows 10 y Server 2016 . Se eliminará la capacidad de mimikatz y otros ataques basados en memoria para extraer credenciales de la lsa.

enlace

    
respondido por el McMatty 24.01.2018 - 22:38
fuente

Lea otras preguntas en las etiquetas