Re: [ml] Sicurezza dei Cached Domain Accounts

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Rissone Ruggero ha scritto:
> ...
> Partendo dal riferimento http://support.microsoft.com/kb/913485 ,
> risulta che il termine cached accounts e' un po' fuorviante. Infatti non
> vengono memorizzate (cifrate) le username e password dei domain accounts
> (il cracking NTLM con delle buone Rainbow Tables non e' cosi'
> irrealizzabile) bensi' un verifier delle stesse, ovvero un salted MD4
> Hash (ripetuto) della credenziale.
> ...
> 

Per quanto riguarda il cracking di questi hash, giusto tra ieri e oggi
ho fatto estensivo utilizzo di cachedump e di una versione di john
modificata all'uopo, di cui ti riporto prontamente[1] un link esplicativo.
Il primo[2] dei due tool effettua il classico dump di tali hash, mentre
il secondo ne effettua il cracking[3].
Alcune informazioni, tra cui le chiavi di registro in cui sono
memorizzati, le trovi nel primo dei link qui sotto.

Per quanto riguarda invece la modifica di tali hash per potersi loggare
senza conoscere la password, penso valgano le solite considerazioni, e
cioè che se hai
- - accesso fisico: puoi anche salutare la macchina
- - accesso amministrativo: vedi sopra
mentre ritengo sempre utile conoscere quali password circolano
nell'ambiente di rete che si sta sottoponendo a verifica (perchè siamo
tutti bravi ragazzi vero??? :P) oltre all'ovvio utilizzo come
credenziali fasulle.

- -xeon

[1] http://www.irongeek.com/i.php?page=security/cachecrack
[2] di cui non è più disponibile, non so perchè, il download dal sito
ufficiale, ma facilmente reperibile, per esempio da
http://meshier.com/wp-content/uploads/2007/03/cachedump-12.zip
[3] tramite la specifica --format=mscash
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (MingW32)

iD8DBQFGCWSgdPj0aKBXx10RArXZAJ9tH1keHcgsdcIP4ADH/sn2Z4R5GQCfb/mh
HsG+XFmxlTROu1MsVVNU9Zg=
=lUu0
-----END PGP SIGNATURE-----

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature