Petit suivi, désormais l'outil fonctionne aussi sous :

* Windows 7 32 bits
* Windows 8.1
* Windows 2012r2
* Windows 10 (Home, Pro, Enterprise sans le VSM)

http://sysadminconcombre.blogspot.ca/2015/07/how-to-reveal-windows-10-password.html

Bonne journée,



2015-07-06 13:05 GMT-04:00 Pierre-Alexandre Braeken <pabraeken@gmail.com>:
Hello Denis,

Merci pour ta réponse :-)

Je connaissais déjà les liens que tu m'as donné.

Malheureusement la KB que tu mentionnes ne résout pas le problème.

En effet, le simple ajout de la clé de registre :

UseLogonCredential (DWORD à 1)

dans HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest

permet toujours la récupération.

Bien à toi,

PA


2015-07-06 12:47 GMT-04:00 Denis Cardon <denis.cardon@tranquil-it-systems.fr>:
Bonjour Pierre-Alexandre,

Tout d'abord, vous devez savoir que mon code a été créé et est publié à
des fins d'apprentissage et vous ne devez en AUCUN cas vous en servir de
façon frauduleuse. Je ne suis pas responsable des mauvaises utilisation
de celui-ci. Vous pouvez l'essayer sur des machines qui vous
appartiennent, toute utilisation non autorisée de celui-ci dans le but
d'obtenir des accès non autorisés sont illégales.

Ceci étant spécifié, passons aux choses sérieuses :

J'ai créé un script PowerShell qui permet de révéler les mots de passes
des utilisateurs logués ou s'étant logués (et machine non rebootée)
d'une machine Windows (testé sous Windows 2003,2008R2,2012,7 et 8).

Le script fonctionne différemment des outils WCE et Mimikatz.

La décryption se fait dans le script sans appeler les .dlls de Windows
qui s'en occupent pour le système.

Il fonctionne également même si l'architecture du système cible est
différente de la votre.

Il est disponible sur GitHub : https://github.com/giMini/RWMC et ici :
http://sysadminconcombre.blogspot.ca...ws-memory.html
<http://sysadminconcombre.blogspot.ca/2015/07/powershell-reveal-windows-memory.html>

Microsoft a une solution au moins sous win8/win2k12r2 pour ce soucis avec la kb2871997 qui désactiver tous les types d'authentification hormis le kerberos dans le lsass pour les utilisateurs du groupe "Protected Users". Dans ce cas là on a plus que le TGT kerberos [1] en mémoire, donc pas de mdp en clair. Mais ça supprime la possibilité d'utiliser le NTLM, le wDigest, et consort...

Pour plus d'information : http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx

La KB ci-dessus wipe-out aussi les mdp de la mémoire vive lors du logoff, ce qui supprime le pb mentionné ci-dessus au niveau de la récupération des mdp des utilisateurs "s'étant logués" précédemment.

Le but ? Démontrer à quel point il est nécessaire de contrôler les accès
à vos systèmes ainsi que de réduire les droits donnés à vos utilisateurs.

100% d'accord!

Cordialement,

Denis

[1] https://en.wikipedia.org/wiki/Ticket_Granting_Ticket




Bonne journée !


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


--
Denis Cardon
Tranquil IT Systems
Les Espaces Jules Verne, bâtiment A
12 avenue Jules Verne
44230 Saint Sébastien sur Loire
tel : +33 (0) 2.40.97.57.55
http://www.tranquil-it-systems.fr