Lors de la configuration d'un service Windows, on spécifie un compte d'utilisateur à utiliser pour l'authentification, ainsi que le mot de passe de cet utilisateur. Dans leurs directives pour la sélection des comptes d'utilisateurs , Microsoft déclare que lors de l'utilisation d'un compte d'utilisateur de domaine,
Sachez que même si le gestionnaire de contrôle des services (SCM) stocke le mot de passe dans une partie sécurisée du registre, il est néanmoins sujet à des attaques.
Ils ne font aucune mention de ce à quoi ressemblerait une telle attaque. Je suppose que l'on voudrait avoir des privilèges administratifs sur le système d'exploitation hébergeant le service, et il semble-t-il que le mot de passe n'est utilisé qu'au démarrage du service, afin que le redémarrage puisse jouer un rôle.
Donc, la question est: que veut dire Microsoft quand ils disent que le mot de passe d'un utilisateur de domaine est sujet à des attaques? Et, existe-t-il des différences substantielles entre les versions (les plus récentes) du système d'exploitation?
Une méthode pour accéder aux secrets LSA est documentée ici .
En un mot:
Appelez la fonction Enable-TSDuplicateToken.
Copiez les clés de registre existantes sur une autre clé temporaire.
L'utilisateur Powershell ou un autre framework pour appeler les fonctions pour lire les secrets.
Vous pouvez également utiliser l'outil NirSoft LSASecretsView .
Vous devez en effet déjà avoir des privilèges d'administrateur sur le système, et pour autant que je sache, il n'y a pas de différences dans les versions récentes de Windows (à part les atténuations que McMatty a déjà souligné).
Donc, la première chose est que ce compte va avoir une paire d'informations d'identification qui, si elle est extraite, accordera un accès supplémentaire autour du réseau. Certaines de vos machines peuvent être configurées pour permettre à l'utilisateur du domaine de se connecter aux machines ou ce compte a accès à une machine qu'un attaquant tente d'atteindre. Cette identité de compte de service a donc désormais accès à d'autres ressources.
Attaques
Ce qui suit ne sont que des attaques contre la machine et le compte - les hachages peuvent également être interceptés et piratés hors ligne ou utilisés dans des attaques pass-the-hash
Les informations d'identification d'un compte d'utilisateur peuvent également être configurées pour une personne qui choisit un mot de passe faible et devinable et en fonction des paramètres de verrouillage (s'ils sont activés), il peut être forcé brutalement.
Étant donné les droits du système ou de l'administrateur, un attaquant peut tenter d'exécuter mimikatz pour extraire les informations d'identification du compte de service.
Atténuation
Pour un service qui nécessite des autorisations sur d'autres ressources de domaine si vous pouvez utiliser un compte de service géré - cela élimine l'aspect du mot de passe car il est désormais géré et tourné par l'ordinateur.
Protection des informations d'identification sur Windows 10 et Server 2016. Il supprimera la possibilité pour mimikatz et d'autres attaques basées sur la mémoire d'extraire les informations d'identification de l'sa.
https://blog.nviso.be/2018/01/09/windows-credential-guard-mimikatz/