Mot de passe fissurant les comptes Windows

Au travail, nous avons des ordinateurs portables avec des disques durs cryptés. La plupart des développeurs ici (à l'occasion j'en ai été coupables aussi) laissent leurs ordinateurs portables en mode hibernation lorsqu'ils les ramènent à la maison la nuit. Évidemment, Windows (c’est-à-dire qu’un programme fonctionnant en arrière-plan fonctionne sous Windows) doit disposer d’une méthode permettant de déchiffrer les données sur le lecteur, sinon il ne pourra pas y accéder. Cela étant dit, j'ai toujours pensé que laisser une machine Windows en mode veille prolongée dans un endroit non sécurisé (pas au travail sur une serrure) constituait une menace pour la sécurité, car quelqu'un pourrait prendre la machine, la laisser fonctionner, pirater les comptes Windows. et l'utiliser pour chiffrer les données et voler les informations. Quand j'ai réfléchi à la façon dont j'allais entrer dans le système Windows sans le redémarrer, je ne pouvais pas savoir si c'était possible.

Je sais qu'il est possible d'écrire un programme pour déchiffrer les mots de passe Windows une fois que vous avez accès au (x) fichier (s) approprié (s). Mais est-il possible d'exécuter un programme à partir d'un système Windows verrouillé pour le faire? Je ne connais pas de moyen de le faire, mais je ne suis pas un expert de Windows. Si oui, y a-t-il un moyen de le prévenir? Je ne veux pas exposer les failles de sécurité sur la façon de le faire, alors je demanderais à quelqu'un de ne pas publier les étapes nécessaires dans les détails, mais si quelqu'un pouvait dire quelque chose comme "Oui, il est possible que la clé USB permette l'exécution arbitraire, " ce serait génial!

EDIT: L’idée du chiffrement est qu’il est impossible de redémarrer le système, car le chiffrement du disque sur le système nécessite une connexion avant de pouvoir démarrer Windows. La machine étant en veille prolongée, le propriétaire du système a déjà contourné le cryptage de l'attaquant, laissant Windows comme seule ligne de défense pour protéger les données.

Laisser la machine en veille prolongée n’est définitivement pas sécurisé, une vulnérabilité a été découverte: la RAM contient toujours la clé du bloqueur de bits (et d’autres) dans la mémoire en veille prolongée. Il existe déjà une attaque de validation technique pour cette vulnérabilité.

La méthode d’attaque consiste à redémarrer rapidement le PC et à lire le contenu de la RAM (qui n’est pas perdue lorsque le courant est coupé), puis un programme peut rechercher la clé dans le cliché.

http://www.eweek.com/c/a/Security/Researchers-Crack-BitLocker-FileVault/

Microsoft a peut-être déjà résolu ce problème.

ps changer le mot de passe normal n’affecte pas le cryptage, car le contenu crypté n’est pas accessible sans le mot de passe correct, de sorte que le changement de mot de passe simple ne pose aucun risque de sécurité.

Comme mentionné par workmad3 , le meilleur moyen d'attaquer une machine verrouillée sans redémarrer est de voir à quel point il est vulnérable à partir d'une connexion réseau.

Cela dépendra des politiques de sécurité en place sur votre réseau. Par exemple, tous les comptes de domaine ont-ils un accès administratif à ces PC? Si tel est le cas, vérifiez le partage par défaut (\ pc-name \ c $). Si le partage par défaut a été activé pour une raison quelconque, vous avez accès à l'intégralité du contenu du PC via le réseau avec votre propre compte. Je ne sais pas si cela fonctionne avec un disque dur chiffré, mais ce serait assez facile à tester.

Une fois que vous avez accès au PC à distance, vous pouvez utiliser des outils tels que l' outil PsExec de Sysinternals pour exécuter des programmes à distance.

Bien sûr, ce n’est qu’un vecteur d’attaque, et cela peut même ne pas fonctionner avec des disques durs chiffrés, mais cela vous donne une idée de ce qui pourrait être fait.

EDIT: Si les ordinateurs portables ont un port Firewire actif, jetez un coup d’œil à cette vulnérabilité . Encore une fois, je ne sais pas si cela aiderait avec une machine chiffrée, car elle est basée sur un accès direct à la mémoire (qui devrait être chiffré).

Évidemment, si une personne a un accès physique à la machine, toutes les informations d'identification stockées peuvent être considérées comme compromises.

Si vous pouvez, par exemple, démarrer à partir d'un périphérique USB ou d'un lecteur optique, vous pouvez utiliser des outils tels que Ophcrack pour récupérer tous les mots de passe. Instructions ici: USB Ophcrack | Mot de passe Windows Login cracker

Edit: Oui, je suis conscient que vous ne pouvez théoriquement pas revenir dans un "disque dur crypté" si la machine est redémarrée. Que cette revendication soit ou non valide dépend entièrement du logiciel utilisé pour accéder aux partitions chiffrées. BitLocker semble faire un travail décent, mais de nombreuses implémentations antérieures étaient fondamentalement une blague - et si vous pouvez accéder à la machine, il est très facile de vider la base de données SAM sur la clé USB et d'effectuer la fissuration hors connexion.

Eh bien, ma première pensée serait de le sortir de l'hibernation, d'accéder à l'écran de mot de passe, puis de voir ce qui est vulnérable via la connexion réseau. Si la sécurité réseau des machines n'est pas à la hauteur, vous pouvez accéder à de nombreuses informations de cette manière.

Je me demande ce qui se passerait si vous graviez un CD-ROM avec un autoplay.ini adapté aux objectifs de votre expérience, puis que la machine se réveille du mode veille prolongée. En fait, je ne sais pas ce qui se passerait, mais ce type de méthodologie est ce que je rechercherais si je tentais d’attaquer une machine en hibernation - faites-la se réveiller et introduisez un exécutable dans l’un de ses ports. At-il un port Firewire? En théorie, il est ensuite piratable à partir de cette interface.

Quel type de cryptage utilisez-vous? BitLocker? Système de fichiers crypté? Sans le savoir, je ne peux pas répondre directement à votre question.

Dans tous les cas, votre sécurité serait aussi bonne que le maillon le plus faible. Vous devez vous assurer que tous les derniers correctifs de sécurité sont installés rapidement. Sinon, des outils tels que MetaSploit peuvent être utilisés pour tester des vulnérabilités connues et obtenir un accès utilisateur ou administrateur.

Vista et XP-sp3 sont beaucoup moins vulnérables que les systèmes d’exploitation antérieurs qui stockaient un mot de passe simplement crypté pour la compatibilité LANMAN. Vous pouvez toujours déchiffrer des mots de passe faciles en utilisant de très grandes tables arc-en-ciel, mais il est par ailleurs assez sécurisé avec des outils comme ophcrack.

Sur mon système de cryptage de disque dur (PGP), je dois entrer le mot de passe de cryptage lors du retour en veille prolongée.

D'une suspension, il n'est pas autorisé.

Si votre fichier hibernate utilisant EFS n’est PAS chiffré, il faut supposer qu’il contient le matériel de chiffrement sensible nécessaire pour déchiffrer les fichiers EFS sur le disque.

Si vous utilisez le cryptage intégral du disque, le fichier hibernate est crypté avec tout le reste et ce risque est atténué.

Il existe un certain nombre de vecteurs d'attaque pour bitlocker / TPM, y compris un certain nombre d'attaques de type surveillance de bus et tempest. TPM n'a pas été conçu pour protéger vos informations contre un TLA déterminé, mais reste assez efficace dans les cas d'utilisation courante.

EFS peut être contourné en déchiffrant le mot de passe d'un utilisateur, sauf si des options significatives de syskey sont activées pour atténuer ce risque. EFS est meilleur que rien, sauf si vous utilisez syskey et un mot de passe résistant à la table Ub3r ra1nb0w, vous ne présentez pas réellement un obstacle important à la compromission de vos données EFS.