Wyciąganie haseł użytkowników z sesji terminalowej na Windows

Okazuje się, że Windows przechowuje hasła użytkowników zalogowanych podczas sesji terminalowej w postaci zwykłego tekstu, „odszyfrowane” we wszystkich wersjach Windows, aż do w pełni zaktualizowanego Windows’a 2019!

W celu ich pobrania (poznania) nie trzeba stosować żadnej dodatkowej biblioteki, wstrzykiwać kodu do pamięci oraz niepotrzebnie alokować kod w pamięci. Wystarczy pobrać i uruchomić najnowszą wersję narzędzia Mimikatz, która pojawiła się dziś w nocy oraz posiadać lokalne uprawnienia administracyjne do serwera lub uprawnienie SeDebugPrivilege.

Jak twierdzi autor programu Benjamin Delpy kod działa na Windows 2012R2/2016/2019 + Windows 10. Niestety podczas naszych testów na Windows 10 oraz Windows 2016 nie udało nam się pobrać haseł, użytkownika zalogowanego poprzez sesję terminalową.

Wynik najnowszego polecenia „ts::logonpasswords” uruchomionego w Mimikatz na naszym Windows 2016:

Być może problem był spowodowany błędem, o którym wspomina autor na swoim blogu „bad segmentation assumption”:

Czekamy na fix i będziemy dalej testować.

Jak widać Windows nadal posiada i przechowuje niezabezpieczone poświadczenia użytkowników. Wystarczy je tylko „odpowiednio” odkopać 😉 Narzędzie w rękach atakującego może popsuć życie niejednej organizacji – sprawdźcie u siebie jak wiele osób loguje się poprzez sesje terminalowe na Windows używając poświadczeń lokalnego admina?

Więcej na temat poznania haseł użytkowników Windows dowiesz się z artykułów pod linkiem.

Popularne

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Pojawiła się groźna luka, oznaczona jako CVE-2025-59287, pozwalająca atakującym na zdalne wykonanie kodu w systemach z rolą Windows Server Update Services („WSUS”). Co gorsza, został już udostępniony publiczny ex...

5 min czytania 27 paź 2025 08:00

Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

W ostatnich miesiącach coraz mocniej zintensyfikowane działania cybernetyczne skierowane przez podmioty powiązane z Rosją na instytucje ukraińskie rzucają nowe światło na metody rozgrywania współczesnego konfliktu...

5 min czytania 31 paź 2025 08:00

Manipulacja polityką audytu w Windows jako pierwszy krok ataku

W systemach Windows narzędzie Auditpol.exe służy do wyświetlania i konfigurowania polityki audytu – czyli kontroli, które akcje, takie jak logowanie, użycie uprawnień, dostęp do obiektów czy zmiany pol...

5 min czytania 30 paź 2025 08:59

Dłuższe hasła zamiast skomplikowanych – dlaczego warto zmienić strategię

Tradycyjne porady dotyczące bezpieczeństwa haseł mówiły: używaj kombinacji wielkich i małych liter, cyfr i znaków specjalnych. Celem było uczynienie haseł trudnymi do złamania metodą brute-force. Jednak najn...

4 min czytania 23 paź 2025 08:00

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...

10 min czytania 20 sty 2020 12:00