Обнаружена опасная уязвимость в Microsoft Windows
 

Локальный пользователь может получить доступ к потенциально важным данным. Возможно данная угроза исключена при использовании HIPS
Исследователь Benjamin "gentilkiwi" ("хороший киви") недавно опубликовал в своем блоге новую версию утилиты mimikatz 1.0, предназначенной для работы с учетными данными на ОС Windows. В новой версии, помимо функционала, аналогичного Windows Credentials Editor, был реализован функционал получения пароля пользователя в открытом виде.
Брешь, используемая mimikatz, связана с реализацией WDigest.dll, предназначенной для дайджест-аутентификации. Особенности реализации механизма HTTP Digest Authentication для поддержки SSO (Single Sign On) требуют знание вводимого пароля, а не только его хеша. Поэтому, разработчики Windows решили хранить пароли пользователей в открытом виде.
Чтобы просмотреть список паролей авторизованных пользователей на системе необходимо выполнить следующие команды:

privilege::debug
sekurlsa::logonPasswords full

Вывод будет примерно следующим:
новость взял отсюда
скачать утилиту можно отсюда

лично проверил (вин 7, 2008 R2) - работает только под администратором. В предыдущей версии утилиты антивирусы с HISP могли блокировать доступ. С неё помощью можно мигрировать пароли пользователей, если нужна очень "тихая" миграция.

Печально... и никаких "противоядий" нету?

ищу варианты с удалением пароля после выхода из системы. после перезагрузки - пароля нет.

http://devteev.blogspot.com/2012/02/0day-lsa.html
Противоядие здесь, но если о нем не знает атакующий.

Однако пригодится штуковина.

если у него прав хватит на реестр.

Если пользователь локальный админ - тушите свечи сразу.
А доменному админу вооообще нечего делать локально на машине, для этого должны существовать отдельные учетные записи.
А вообще интересно.

С правами сложности у атакующего могут возникнуть, а так на всякий случай лежит собственная regedit.exe в комплекте.

решил я тут на днях вспомнить как это делается. Не получается: при проверке lsass.exe отказано в доступе. Может какие обновления были в винде...
Или от того, что NOD32 установили... но на компе без антивируса - всё работает...

На 8 и 2012 неактуально. cmd под админом:

"mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 636
Erreur : Impossible d'injecter ! ; (0x00000005) Отказано в доступе.

mimikatz # @getLogonPasswords
Erreur : pas ou plus de communication etablie"

вот тоже самое получаю в некоторых 7-ых компах..

Тьфу ты блин ) Я уж думал что по интереснее...
Вот будет кто то стоять со свечкой и ждать пока админ ведет пароль и не дай бог комп ребутнет.
А вообще кому оно нафиг надо? Если человек раздает локального админа всем то он дурак.

компрометация

Попробовал на работе. Также получает отлуп. Ни на 7 x86/2008 R2 SP1 не выходит, ни на 2003 R2 x86. Апдейты через wsus. Посмотрел блог повнимательней - автор вроде как пишет что на 70% x86 систем и на 90% x64 чего-то у него не совсем срастается и обещает удивить тех у кого установлена Win 8. Ну-ну, посмотрим... :)

я когда это пробовал зимой - у 100% было. сейчас я попробую у тех, у кого получалось.
проверил - теперь не работает. При этом в дистрибутиве утилиты отсутствовал файл sekurlsa.dll Пришлось заново закачивать, но не помолго

I'm very interested to have feedbacks on your Windows version !

Don't forget this facts :

• NT 5 - Console
  
  Код:

  ---

  privilege::debug
inject::service samss sekurlsa.dll
....

  ---

• NT 5 - RDP
  
  Код:

  ---

  psexec -s cmd

  ---

  or
  Код:

  ---

  psexec -s mimikatz

  ---

  then
  
  Код:

  ---

  inject::service samss sekurlsa.dll
....

  ---

• NT 6 (Console & RDP, include Win8)
  
  Код:

  ---

  privilege::debug
inject::service samss sekurlsa.dll
....

  ---

Gentil Kiwi (my mail is on http://blog.gentilkiwi.com/contact)

same: access denied

вообщем, пообщавшись с gentilkiwi выяснилось что запрет появился после установки ESEN NOD 32. У него есть некий модуль HIPS, он и блокирует доступ к файлу.

Like sayed in PM, if security softwares like Antivirus / HIPS / Behavior scans /... lock mimikatz access to LSASS, it's not a mimikatz issue ;)

Don't forget it's a POC tool, not a hack tool ;)

* I've made test on an up to date x64 7, no problem at all

ESET is not the best HIPS after all ;)

http://img52.imageshack.us/img52/555...0727182837.png

Driver exposed not available at this time.

gentilkiwi, can you make screen smaller?
i'll checking this on Monday.

тут ещё такой момент. с человеком, который у вас работает, можно договорится. Объяснить ему, что такое хорошо и что такое плохо.
А вот вирусам это не объяснишь. написать вирус, который будет выполнять эти действия - не проблема. поэтому хочется понять, как это работает, чтобы закрыть.

Win 7 x86 - MSE.
2008 R2 - MS Defender
2003 R2 - там да, NOD32 5.
На 8 и 2012 встроенный.

Ни на одном не прокатило. Все ОС обновлены по максимуму - в конторе это несложно, дома тем более.
Резюме: на машине без антивируса, под локальным админом и без перезагрузки. Как-то уже не впечатляет )

поверьте, такие пользователи есть, иначе бы писать на форум было бы некому....

Я чего то не понял, у нас англоязычный форум уже?
gentilkiwi, exo, предупреждение по ОПК 2.3.
gentilkiwi, official language at this forum - Russian.