Menu dostępności

Wyciąganie haseł użytkowników z sesji terminalowej na Windows

Okazuje się, że Windows przechowuje hasła użytkowników zalogowanych podczas sesji terminalowej w postaci zwykłego tekstu, „odszyfrowane” we wszystkich wersjach Windows, aż do w pełni zaktualizowanego Windows’a 2019!

W celu ich pobrania (poznania) nie trzeba stosować żadnej dodatkowej biblioteki, wstrzykiwać kodu do pamięci oraz niepotrzebnie alokować kod w pamięci. Wystarczy pobrać i uruchomić najnowszą wersję narzędzia Mimikatz, która pojawiła się dziś w nocy oraz posiadać lokalne uprawnienia administracyjne do serwera lub uprawnienie SeDebugPrivilege.

Jak twierdzi autor programu Benjamin Delpy kod działa na Windows 2012R2/2016/2019 + Windows 10. Niestety podczas naszych testów na Windows 10 oraz Windows 2016 nie udało nam się pobrać haseł, użytkownika zalogowanego poprzez sesję terminalową.

Wynik najnowszego polecenia „ts::logonpasswords” uruchomionego w Mimikatz na naszym Windows 2016:

Być może problem był spowodowany błędem, o którym wspomina autor na swoim blogu „bad segmentation assumption”:

Czekamy na fix i będziemy dalej testować.

Jak widać Windows nadal posiada i przechowuje niezabezpieczone poświadczenia użytkowników. Wystarczy je tylko „odpowiednio” odkopać 😉 Narzędzie w rękach atakującego może popsuć życie niejednej organizacji – sprawdźcie u siebie jak wiele osób loguje się poprzez sesje terminalowe na Windows używając poświadczeń lokalnego admina?

Więcej na temat poznania haseł użytkowników Windows dowiesz się z artykułów pod linkiem.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

USBLITER8. Niezałatana podatność, która podważa zaufanie do USB

Przez lata wydawało się, że bezpieczeństwo urządzeń USB jest tematem dobrze zrozumianym. Owszem, pojawiały się ataki wykorzystujące firmware, fałszywe klawiatury czy modyfikowane pendrive'y, ale więks...