Это исследование получило первое место на Pentest Award 2025 в категории «Раз bypass, два bypass». Соревнование ежегодно проводится компанией Awillix.
Однажды в небезызвестном чатике RedTeam Brazzers зашел разговор о том, как сейчас работает обновленный механизм смены паролей локальных администраторов в AD — Windows LAPS (ранее Microsoft LAPS, теперь называемый Legacy LAPS). Там же обсудили и другой момент: можно ли при атаке DCSync за один раз получить пароли всех локальных админов. Оказалось, что да — в Legacy LAPS эти пароли хранятся в LDAP как защищенные свойства, но без шифрования.
Однако такой же трюк не пройдет, если в инфраструктуре заказчика используется актуальный Windows LAPS, расшифрование паролей в котором проходит по протоколу MS-GKDI. Кроме того, в этом случае в домене AD можно задать только одного конкретного «дешифратора паролей» — учетную запись или группу пользователей, которым разрешено читать пароли локальных админов.
Мы задумались: как пентестеру закрепиться в Windows LAPS так, чтобы после получения максимальных прав в AD можно было в любой момент запросить пароль любого локального администратора, управляемого LAPS, даже если сменятся пароли у «расшифровщиков», имеющих доступ к этим данным?
В этом помогла одна особенность устройства Windows LAPS на контроллерах домена.
Да кто такой этот ваш RecoveryMode?!
Если обратиться к (очень скудной) официальной документации, можно увидеть одну странную опцию -RecoveryMode у командлета Get-LapsADPassword.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
