HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

Transcription

1 HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet GS Days Extraction des empreintes de mots de passe en environnement Windows 10 mai 2011 Thibaut Leveslin

2 Hervé Schauer Consultants Société de conseil en sécurité des systèmes d'information depuis Prestations intellectuelles d'expertise en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise : Sécurité Windows / Unix et Linux / embarqué Sécurité des applications Sécurité des réseaux TCP/IP, téléphonie, réseaux opérateurs, réseaux avioniques,... Organisation de la sécurité, droit des systèmes d'information Certifications d'entreprise 2/22 ISO 9001 (formations certifiantes), OPQCM, ARJEL, PCI-DSS,...

3 Sommaire Introduction 1. Rappels a) Méthode de stockage des mots de passe en environnement Windows b) Nécessité de récupérer les empreintes 2. Méthodes de recouvrement des empreintes a) Stockage des empreintes des comptes locaux b) Stockage des empreintes du domaine Copie du fichier de l'annuaire Récupération des attributs de l'annuaire Extraction des empreintes c) Démonstration de l'outil réalisé Conclusion 3/22

4 Introduction Objectif : étudier la manière dont sont stockées les empreintes des mots de passe sous Windows. Contrainte : ne pas affecter la stabilité du système cible. Intérêt : réaliser un audit des mots de passe, pouvoir se faire passer pour un autre utilisateur. Contexte : prestations d'audits ou de type tests d'intrusion (pouvoir rebondir sur les systèmes voisins). Récupérer les empreintes : des comptes locaux à la machine des utilisateurs du domaine 4/22

5 1. Rappels a) Méthode de stockage des mots de passe en environnement Windows Empreinte : résultat de la transformation des mots de passe à l'aide d'une fonction à sens unique. Deux types d'empreintes : LM (LAN Manager) et NT (New Technology). Aucune graine dans ces empreintes. attaques par table pré-calculée ou par force brute efficaces Empreinte LM : algorithme de chiffrement DES (Data Encryption Standard) sur une constante. Empreinte NT : fonction de hachage MD4 (Message Digest 4). 5/22

6 1. Rappels b) Nécessité de récupérer les empreintes (Login, Mot de passe) = permet l'authentification à un système. Deux moyens pour s'authentifier à partir d'une empreinte : Cassage de l'empreinte tables pré-calculées par exemple Attaque dite «Pass-the-Hash» Pass-the-Hash : attaque permettant de s'authentifier à un système distant à l'aide des empreintes LM et NT. But : aussi efficace d'avoir l'empreinte que le mot de passe statistiques sur les mots de passe. accéder aux ressources d'autres utilisateurs. 6/22

7 Introduction Environnement Windows, nécessite les droits du compte Administrateur. Comptes locaux, méthodes existantes : Lecture dans le registre. Injection de code dans le processus LSASS. LSASS : processus responsable de la politique de sécurité locale. Injection : méthode pour exécuter du code dans l'espace d'adressage d'un autre processus. Outils : fgdump, gsecdump, Cain, hashdump, etc. Domaine Active Directory : Méthode non publique. 7/22

8 a) Stockage des empreintes des comptes locaux Empreintes stockées dans la base de registre (chiffrées) Registre : base de données servant à stocker les informations de configuration sous Windows (logiciels, système...) Protection basée sur la clé de chiffrement Syskey + plusieurs étapes chiffrement. Méthode basée sur : pwdump (v1, 1997) + ajout du support de la Syskey (Bkreg) + lancé avec les droits du compte LocalSystem (pour accès à la ruche SAM) sans injection de code dans le processus LSASS 8/22

9 a) Stockage des empreintes des comptes locaux Lancement du programme en tant que service, avec les privilèges du compte LocalSystem. 4 étapes pour extraire les empreintes et les déchiffrer : Récupération de la Syskey Calcul et utilisation d'une version hachée de la Syskey Récupération et déchiffrement des empreintes de chaque utilisateur Désobfuscation des empreintes Syskey : dans le registre (cas le plus courant). Empreintes chiffrées : dans la ruche SAM (Security Accounts Manager) du registre. 9/22

10 a) Stockage des empreintes des comptes locaux Emplacement des empreintes dans le registre Valeur «V» dans «HKLM\SAM\SAM\Domains\Account\User\[RID]» S : séparateur RID : identifiant unique d'un utilisateur dans un domaine Les empreintes sont chiffrées en RC4, dont la clé dépend de : «Syskey» 9C... offset... S LM S NT... Constante RID (Relative Identifier) Clé obtenue par la fonction de hachage MD5. Principe utilisé massivement par Windows 10/22

11 a) Stockage des empreintes des comptes locaux Désobfuscation des empreintes Chiffrées une dernière fois en DES hashlm = DES ( Clé1, hashlmobf [0x00:0x07] ) + DES ( Clé2, hashlmobf [0x08:0x15] ) hashnt = DES ( Clé1, hashntobf [0x00:0x07] ) + DES ( Clé2, hashntobf [0x08:0x15] ) Les clés DES sont générées à partir du RID Soit RID = 0xABCD Clé1 = 0xDCBADCB Clé2 = 0xADCBADC 11/22

12 Introduction 2. Méthodes de recouvrement des empreintes b) Stockage des empreintes du domaine Active Directory : annuaire d'entreprise Windows permettant la gestion des membres du domaine. Les comptes du domaine sont stockés sur un contrôleur de domaine. Beaucoup de ressemblance avec le stockage dans le registre : droits Administrateur clé Syskey chiffrements consécutifs Deux étapes pour l'extraction des empreintes : 1. Récupération du fichier de l'annuaire (en-ligne). 2. Parcours du fichier pour extraire les informations (hors-ligne). 12/22

13 b) Stockage des empreintes du domaine Copie du fichier de l'annuaire Annuaire fichier ntds.dit (%SystemRoot%\NTDS), verrouillé par le système. Deux méthodes de récupération : Utilisation du mécanisme de réplication de l'active Directory (cf. Aurélien Bordes, SSTIC 2010) Volume Shadow Copy Service (VSS), localement Le VSS permet la réalisation de clichés instantanés, en évitant la corruption des fichiers sauvegardés. intégré au système (Windows Server 2003) du point de vue système de fichiers et dans la logique d'utilisation accès à des fichiers ouverts, disposant d'un verrou d'accès exclusif 13/22

14 b) Stockage des empreintes du domaine Récupération des attributs de l'annuaire Annuaire Active Directory basé sur le moteur de base de données Extensible Storage Engine (ESE). Extensible Storage Engine : permet le parcours d'une base de données au format ESE (API Windows). Objets du domaine sont stockés dans des attributs, organisés dans des tables : MSysObjects : schéma datatable : table des objets Une ligne représente une instance d'un objet. Une colonne représente un attribut. 14/22

15 b) Stockage des empreintes du domaine Extraction des empreintes Nécessite de savoir : quels sont les attributs à récupérer comment les lire Attributs identifiés : ATTk : empreinte NT (unicodepwd) ATTk : empreinte LM (DBCSPwd) ATTm : nom d'utilisateur ATTr : Security Identifier (= SID) ATTk : clé de chiffrement des empreintes (peklist) 15/22

16 b) Stockage des empreintes du domaine Extraction des empreintes Étapes successives 1. Récupération des attributs 2. Déchiffrement de peklist (clé de chiffrement des empreintes) 3. Déchiffrement des empreintes 4. Désobfuscation des empreintes, à partir du RID 16/22

17 b) Stockage des empreintes du domaine Extraction des empreintes peklist et les empreintes sont chiffrées en RC4. clé dépend de deux valeurs clé obtenue par la fonction de hachage MD5 Correspond à PEKInPlaceEncryptDecryptDataWithKey() de ntdsa.dll (bibliothèque de communication). 17/22

18 b) Stockage des empreintes du domaine Extraction des empreintes Déchiffrement de peklist : Zone aléatoire 1? Ptr? Zone aléatoire 2 Structure de peklist (offsets en décimal) Chiffré Déchiffrement à partir de : Syskey Zone aléatoire 1 peklist en clair dans la mémoire de LSASS 18/22

19 b) Stockage des empreintes du domaine Extraction des empreintes Déchiffrement des empreintes : Préfixe Clé de déchiffrement Empreinte Structure d'un attribut stockant une empreinte (offsets en décimal) Chiffré Déchiffrement à partir de : Zone aléatoire 2 de peklist (en clair) Partie de la structure à l'offset 8 19/22

20 c) Démonstration de l'outil réalisé Nécessite d'être Administrateur Testé sur Windows Server 2003, 2008, 2008R2, XP, Seven. Valable en 32 bits et 64 bits. Moyens de protection : Ne pas stocker la Syskey sur le disque (contournable cependant...). Appliquer le principe de moindre privilège et les bonnes pratiques de sécurité. 20/22

21 Conclusion Comptes locaux : Lecture dans la ruche SAM. Déchiffrement à partir de la Syskey. Comptes de domaine : Copie du fichier ntds.dit avec le Volume Shadow Copy Service. Récupération des 5 attributs ATTk* avec l'api Extensible Storage Engine. Extraction des empreintes + déchiffrement. Syskey indispensable (ou lecture en mémoire) 21/22

22 Questions Merci pour votre attention Des questions? 22/22