איך לחשוף סיסמאות מקומיות

מה זמן לוקח לחשוף סיסמאות מקומיות המאוחסנות ברמת Credential Manager? שעות, דקות או שניות? תחשבו שוב… נכון שניות בודדות.

רכיב Credential Manager מאפשר לשמור סיסמאות שונות במקום שמור (אחסון דיגיטלי מקומי) ולמעשה שאפליקציה מצריכה גישה אל אותו פרטי משתמש וסיסמא היא למעשה שולפת אותו מתוך אותו אחסון דיגיטלי.
האפשרויות שניתן לשמור עם Credential Manager הם מול אתרים שונים, רכיבי רשת ועוד ומחלק את האחסון למספר אפשרויות של:

  • Windows Credentials
  • Certificate-Based Credentials
  • Generic Credentials

בנוסף ניתן לדעת היכן הנתונים נשמרים ע”י הרצת פקודת vaultcmd /list

image

בשורה התחתונה כל אותם סיסמאות וזהויות נשמרות במנגנון Local Security Authority ובמנגנון SAM database.
ישנם דרכים שונות שבאמצעותם  ניתן לדעת היכן המידע נמצא אבל השאלה איך ניתן לחשוף את הסיסמאות במספר רגעים? ע”י הרצת סקריפט פשוט שניתן להריץ מקומית או באופן מרוחק שחושף את כל הסיסמאות המקומיות מתוך Credentials Manager.

image

הסקריפט שניתן להריץ על כל תחנת החל מגרסת Windows 7 ומעלה

[void][Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,ContentType=WindowsRuntime]
$vault = New-Object Windows.Security.Credentials.PasswordVault
$vault.RetrieveAll() | % { $_.RetrievePassword();$_ }

איפה הסכנה?

גניבת זהויות היא הדרך הקלה יותר לפריצה אל הארגון ובדומה למתקפות מסוג Pass-The-Hash שבו ניתן לגנוב הרשאות מתוך התחנה המקומית (כדוגמת Credentials Manager) ואז מכאן לשוטט בארגון ואפילו להגיע עד לשרתי Domain Controller. קלאסי משהו.

אז מה עושים?

ישנה אפשרות להגדיר את הסיסמאות במצב Hidden אך גם אותם ניתן לחשוף עם סקריפט דומה ולכן הדרך היחידה כיום להצפין את המידע היא באמצעות יכולות Credential Guard של Windows 10 בלבד,
יכולות CG מאפשרות להפריד את האופן שבו נשמרים פרטי הזהות (credentials) ואינו מאפשר גישה לסיסמאות.

image

עוד על Credentials Guard בקישור הבא Protect derived domain credentials with Credential Guard

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s