tag:blogger.com,1999:blog-21555208.post2245845356328456505..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: Windows 10 y el final del los ataques Pass the Hash (Pth) #Hacking #Pentest #Windows10Chema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-21555208.post-24378202739932559542016-09-07T15:24:45.266+02:002016-09-07T15:24:45.266+02:00Hola,
Credential Guard protege del acceso y robo ...Hola,<br /><br />Credential Guard protege del acceso y robo en memoria (ya que lsass ya no tendrá la información). No creáis que es trivial (debido a requisitos y listado de cosas a realizar, hay que mirar si la GPO ha habilitado unas claves del registro en HKLM. Microsoft recomienda que en las imágenes que se desplieguen en las empresas, IT lo habilite). <br /><br />La prueba, habilitando el protector (Credential Guard) por política, es que se puede reutilizar un hash NTLM para autenticar. Lógicamente, aplicaciones como Mimikatz o WCE no podrán obtener la información (hashes) de memoria, pero siempre nos quedaría la SAM. Tener en cuenta que si es una autenticación de red, se podría encontrar solo en memoria, por lo que el hash no lo quitarían. <br /><br />No está siendo fácil (al menos en mi caso) habilitar el Cred. Guard, también debido a los distintos requisitos y operativas de GPO y registro a tener en cuenta.<br /><br />Probar en Windows 10, no a obtener el hash en memoria, si no a utilizar la SAM para obtener el hash y llevar a cabo la autenticación remota a través del hash (con WCE, o el módulo de PSEXEC de MSF).<br /><br />Un saludo!Pablo Gonzálezhttps://www.blogger.com/profile/03709318170570926150noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-19149144529464113402016-09-07T06:36:17.620+02:002016-09-07T06:36:17.620+02:00Hola Pablo. Quede con la misma duda de Luciano. Cr...Hola Pablo. Quede con la misma duda de Luciano. Creo q debes aclarar si la PoC fue exitosa o no con Credential Guard activado.<br />SaludosTAVOhttps://www.blogger.com/profile/05030051877439073627noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-91403617353482882532016-09-07T06:35:50.145+02:002016-09-07T06:35:50.145+02:00Hola Pablo. Quede con la misma duda de Luciano. Cr...Hola Pablo. Quede con la misma duda de Luciano. Creo q debes aclarar si la PoC fue exitosa o no con Credential Guard activado.<br />SaludosTAVOhttps://www.blogger.com/profile/05030051877439073627noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-2393306108631387182016-09-06T16:51:51.740+02:002016-09-06T16:51:51.740+02:00Hola Pablo,
¿La PoC que estás mostrando para Pass...Hola Pablo,<br /><br />¿La PoC que estás mostrando para Pass The Hash es con la opción Credential Guard Deshabilitada?<br />Si activas Credential Guard, ¿te permite seguir haciéndolo?<br /><br />Saludos,Anonymoushttps://www.blogger.com/profile/02701120282603496246noreply@blogger.com