[ml] Sicurezza dei Cached Domain Accounts

In una discussione relativa all'hardening di PC che vengono anche
utilizzati per accedere a domini aziendali, si e' entrati nel discorso
relativo al caching dei domain accounts e relativa sicurezza di questa
"pratica", necessaria per poter comunque effettuare il logon sul PC in
assenza di un Domain Controller ed anche di un account locale, scenario
tipico dei laptop aziendali.
Partendo dal riferimento http://support.microsoft.com/kb/913485 ,
risulta che il termine cached accounts e' un po' fuorviante. Infatti non
vengono memorizzate (cifrate) le username e password dei domain accounts
(il cracking NTLM con delle buone Rainbow Tables non e' cosi'
irrealizzabile) bensi' un verifier delle stesse, ovvero un salted MD4
Hash (ripetuto) della credenziale.
Nel documento vi e' poi una interessante (da un punto di vista della
sicurezza) affermazione :

"Regardless of what encryption algorithm is used to encrypt the password
verifier, a password verifier can be overwritten so that an attacker can
authenticate as the user to whom the verifier belongs. Therefore, the
administrator's password may be overwritten. This procedure requires
physical access to the computer. Utilities exist that can help overwrite
the cached verifier. By using one of these utilities, an attacker can
authenticate by using the overwritten value."

Il verifier, o per essere piu' corretti "I verifiers" (possono essere
memorizzati fino a 50 accounts), e' inserito in una chiave di registro e
la sua sovrascrittura implica ovviamente i diritti di SYSTEM sulle
chiavi di registro oppure il boot da LiveCD  e successivo dump delle
opportune chiavi di registro (accessibilita' fisica alla macchina).
Se vi sono altri metodi per l'accesso da remoto a dette chiavi mediante
qualche exploit, al momento non ne ho trovati, e voi ?

Non ho neanche trovato informazioni piu' dettagliate in quale modo viene
calcolato il verifier di questo Cached Account, ovvero in che modo sono
passate alla funzione di hashing MD4 le credenziali per calcolarne il
verifier.
Facendo il dump in locale, ho potuto solo vedere che e' memorizzata in
Hex con 524 coppie e le coppie 41, 42 e 43 sono sempre uguali a 04:00:01
(sotto riporto una chiave vuota, ma e' sono presenti anche negli altri 2
cached verifiers

"NL$7"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,0
0,00,\
 
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,01,00,00,00,
00,\
 
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,\
 
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,\
 
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,\
 
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00


Cambiando un po' di volte la password di dominio, sono rimaste uguali
diverse parti della chiave di registro, che sicuramente corrispondono
alla Username e al dominio (invariati), mentre non mi e' stato possibile
far inserire ad alcuni colleghi account con username differenti (stesso
dominio) in quanto una policy locale lo impedisce.
Ritornando poi ad una "vecchia password", viene aggiunta una nuova
chiave NL$x, leggermente differente, presumo perche' vengano inserite
nel verifier anche informazioni temporali sulla chiave  ed altre cose.

Per non andare pero' a tentativi, su quale bibbia MCSE (o link) devo
andare a spulciare per trovare ulteriori informazioni su dette chiavi di
registro e gestione di queste credenziali ?



Grazie
RR

--------------------------------------------------------------------

CONFIDENTIALITY NOTICE

This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to webmaster@xxxxxxxxxxxxxxxxx

        Thank you

                                        www.telecomitalia.it

--------------------------------------------------------------------