Toute ressemblance avec un billet précédent est malheureusement normale :(
Je ne pense pas que Microsoft change sa philosophie de gestion du SSO dans un avenir très proche…
Après le dernier billet sur « re – pass the pass » et…
- les réactions positives de certains (Espagnols, Américains, Russes et Chinois)
- les réactions étranges d’autres : Microsoft & Amplia Security (ça faisait juste quasi un an que je l’avais présenté…)
- Windows 8 en approche
… voici la suite !
Le provider
Cette fois ci nous avons le provider LiveSSP qui, dans Windows 8, permet de se connecter avec son compte Microsoft Live (avec tout de même un petit cache dans la SAM locale en cas d’indisponibilité d’Internet ou des services Live).
Remarques :
- un compte Live est utilisé avec les providers :
msv1_0tspkglivessp
- un compte non Live est utilisé avec les providers :
msv1_0wdigesttspkg
Téléchargement et fonctionnement
Une mise à jour de mimikatz existe, mais elle n’est pas encore disponible en téléchargement… (merci à nos amis éditeurs antivirus et Microsoft qui choisis de blacklister plutôt que d’améliorer ses processus)
Plus de release avant fin mai
A exécuter après avoir obtenu des droits administrateurs (ou system) :
privilege::debug inject::service samss sekurlsa.dll @getLogonPasswords full
La commande privilege::debug n’est pas obligatoire si vous êtes déjà system.
(plus d’information : http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa#getLogonPasswords et http://blog.gentilkiwi.com/mimikatz/librairies/sekurlsa/livessp)
Nouvelles commandes (si besoin de séparation) :
@getMSV @getTsPkg @getWDigest @getLiveSSP
@getLogonPasswords utilise les providers disponibles et connus par mimikatz.
Améliorations
- ne garder que
kerberos,msv1_0etschanneldans la liste des providers autorisés (se référer au billet d’origine sur « pass the pass »)
ils sont essentiels au fonctionnement des services Windows - demander à Microsoft la validité de ce mode de fonctionnement avec un minimum de provider (je n’y crois vraiment plus…)