Ме­ханизм RecoveryMode в Windows LAPS поз­воля­ет рас­шифро­вывать пароли локаль­ных адми­нис­тра­торов даже при уда­лен­ных «дешиф­раторах». В статье ты узна­ешь, как это сде­лать, а вишен­ка на тор­те — proof-of-concept RPC-интерфей­са, который уме­ет безопас­но и скрыт­но зап­рашивать LAPS-пароли пря­мо из SYSTEM-кон­тек­ста на кон­трол­лере домена.

Это иссле­дова­ние получи­ло пер­вое мес­то на Pentest Award 2025 в катего­рии «Раз bypass, два bypass». Сорев­нование еже­год­но про­водит­ся ком­пани­ей Awillix.

Од­нажды в небезыз­вес­тном чатике RedTeam Brazzers за­шел раз­говор о том, как сей­час работа­ет обновлен­ный механизм сме­ны паролей локаль­ных адми­нис­тра­торов в AD — Windows LAPS (ранее Microsoft LAPS, теперь называ­емый Legacy LAPS). Там же обсу­дили и дру­гой момент: мож­но ли при ата­ке DCSync за один раз получить пароли всех локаль­ных адми­нов. Ока­залось, что да — в Legacy LAPS эти пароли хра­нят­ся в LDAP как защищен­ные свой­ства, но без шиф­рования.

Од­нако такой же трюк не прой­дет, если в инфраструк­туре заказ­чика исполь­зует­ся акту­аль­ный Windows LAPS, рас­шифро­вание паролей в котором про­ходит по про­токо­лу MS-GKDI. Кро­ме того, в этом слу­чае в домене AD мож­но задать толь­ко одно­го кон­крет­ного «дешиф­ратора паролей» — учет­ную запись или груп­пу поль­зовате­лей, которым раз­решено читать пароли локаль­ных адми­нов.

Мы задума­лись: как пен­тесте­ру зак­репить­ся в Windows LAPS так, что­бы пос­ле получе­ния мак­сималь­ных прав в AD мож­но было в любой момент зап­росить пароль любого локаль­ного адми­нис­тра­тора, управля­емо­го LAPS, даже если сме­нят­ся пароли у «рас­шифров­щиков», име­ющих дос­туп к этим дан­ным?

В этом помог­ла одна осо­бен­ность устрой­ства Windows LAPS на кон­трол­лерах домена.

Да кто такой этот ваш RecoveryMode?!