Исследователи TrustWave SpiderLabs продолжили работу, начатую в прошлом году, по извлечению из реестра и изучению парольных хэшей LM и NTLM в Windows 7. Сейчас дошла очередь до Windows 8, и специалисты сразу же обратили внимание на новый ключ UserPasswordHint, которого раньше не заметили в базе данных SAM.

HKLM\SAM\SAM\Domains\Account\Users\\UserPasswordHint

Как оказалось, там хранятся секретные вопросы пользователей, и с помощью скрипта из восьми строчек можно извлечь оттуда информацию, то есть эти самые секретные вопросы.

Вопросы хранятся в бинарном виде:

Но перевести в Hex и текст не составило особого труда, вот скрипт:

Исследователи решили использовать полюбившийся им Metasploit Hashdump и отправили разработчикам запрос на github’е на добавление кода, и те вскоре внесли туда скрипт. На скриншоте — сессия Metasploit Meterpreter, которая извлекает секретные вопросы в Windows 7 и 8.

Сессия Metasploit Meterpreter, которая извлекает секретные вопросы в Windows 7 и 8
Сессия Metasploit Meterpreter, которая извлекает секретные вопросы в Windows 7 и 8

Для пентестеров секретный наводящий вопрос — это ценная информация, потому что по нему можно предположить, каким должен быть сам пароль.

Кстати, в новой операционной системе Windows 8 недавно обнаружили ещё одну проблему с безопасностью: эта ОС подключается ко всем социальным сетям пользователя и хранит в кэше все его контакты в открытом виде.



Оставить мнение