L'attaque « pass-the-pass » consiste à récupérer les mots de passe en clair contenus dans la mémoire des utilisateurs s'étant logués sur le système. Elle est implémentée dans le module sekurlsa de Mimikatz, exploitant le processus LSASS afin d'extraire les mots de passe contenus dans les services suivants :
- tspkg ;
- wdigest ;
- livessp ;
- kerberos ;
- msv1_0.
Ces services stockent en mémoire les identifiants utilisateur (y compris son mot de passe) lors de la phase d'ouverture de session afin d'assurer un mécanisme de Single-Sign-On (SSO) de Windows. Il s'agit de « Security Service Providers » (SSP) chargés dans le processus LSASS.
Le mot de passe n'est pas directement stocké en clair, c'est pourquoi il n'est pas possible de les trouver via une simple recherche de caractères dans la mémoire
[....]
Perso de ce que j'ai pu tester, la phrase devrait plutôt être "contenus dans la mémoire des utilisateurs loggués présentement sur le système."
De ce que j'ai lu, il permet de récupérer les identifiants stockés en cache.
Donc également les identifiants pour ouvrir des partages, des choses comme ça.
OK.
Mais du coup, sur une session utilisateur avec des lecteurs qui se montent avec ses identifiants, du coup on ne récupère que son MDP à lui.
L'attaque « pass-the-pass » consiste à récupérer les mots de passe en clair contenus dans la mémoire des utilisateurs s'étant logués sur le système. Elle est implémentée dans le module sekurlsa de Mimikatz, exploitant le processus LSASS afin d'extraire les mots de passe contenus dans les services suivants :
- tspkg ;
- wdigest ;
- livessp ;
- kerberos ;
- msv1_0.
Ces services stockent en mémoire les identifiants utilisateur (y compris son mot de passe) lors de la phase d'ouverture de session afin d'assurer un mécanisme de Single-Sign-On (SSO) de Windows. Il s'agit de « Security Service Providers » (SSP) chargés dans le processus LSASS.
Le mot de passe n'est pas directement stocké en clair, c'est pourquoi il n'est pas possible de les trouver via une simple recherche de caractères dans la mémoire
Qui peut confirmer/infirmer que Mimikatz ne permet de récupérer en clair que les MDP des sessions ouvertes sur l'OS ?
De ce que j'ai lu, il permet de récupérer les identifiants stockés en cache.
Donc également les identifiants pour ouvrir des partages, des choses comme ça.
ShonGail
Qui peut confirmer/infirmer que Mimikatz ne permet de récupérer en clair que les MDP des sessions ouvertes sur l'OS ?
