Cet article a pour vocation de vulgariser les éléments techniques liés à la récupération des mots de passe en mémoire, sur les systèmes Windows provenant particulièrement du package wdigest.dll. À la fin de cet article, vous devriez être en mesure de réimplémenter votre propre outil. L'ensemble des découvertes sur ce sujet a été réalisé par Hernan Ochoa, Aurélien Bordes et Benjamin Delpy.
1. Un peu d'histoire
1.1 Pass Pass The Hash
Le « dump mémoire » doit ses débuts à la célèbre attaque nommée « Pass-the-Hash ». Cette vulnérabilité (fonctionnalité Microsoft ?) fut découverte en 1997 par Paul Ashton [1]. Son exploitation s'est matérialisée sous la forme d'un client Samba modifié. En effet, pour une authentification par le réseau, un utilisateur n'a pas nécessairement besoin de renseigner de mot de passe. L’authentification se réalise à partir d’un hash LM/NTLM. Ce hash est un condensat cryptographique réalisé à partir du mot de passe de l’utilisateur. Son calcul est réalisé lors de l’authentification de l’utilisateur, lorsque ce dernier se connecte sur le système. Un attaquant capable de récupérer le hash LM/NTLM est en mesure d’usurper l’identité d’un autre utilisateur auprès d’un système Windows en présentant seulement ce hash, d’où le nom de cette attaque : « Pass The Hash ». Bien sûr, cette...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première