Monter un lecteur réseau en tant que SYSTEM : Gestion des identifiants et accessibilité

Lorsqu’un lecteur réseau (avec des identifiants distants) est monté dans la session de l’utilisateur SYSTEM, il devient visible dans l’explorateur de fichiers des autres utilisateurs, mais reste inaccessible.

Ce phénomène survient parce que chaque session Windows a son propre contexte d’authentification. Les identifiants fournis pour la session SYSTEM sont valides uniquement dans ce contexte, et non dans d’autres sessions utilisateur.

Lorsque vous essayez d’accéder au lecteur depuis une autre session (par exemple, l’explorateur de fichiers d’un utilisateur), Windows tente d’utiliser les identifiants de la session active de l’utilisateur courant, d’où le message d’erreur « The user name or password is incorrect »

Net use
The user name or password is incorrect

Un message d’erreur apparait également dans la console PowerShell lors de la tentative de connexion au lecteur.

Malgré l’apparition du message d’erreur, le lecteur reste visible et pleinement fonctionnel dans la session SYSTEM.

Pour pouvoir y accéder depuis la session d’un autre utilisateur il suffit d’ajouter les identifiants dans le gestionnaire des identifiants Windows.

cmdkey
Credential Manager

Une fois les identifiants enregistrés dans le gestionnaire, ils seront automatiquement utilisés lorsqu’on accède au lecteur. Windows associera l’adresse IP du partage distant aux identifiants enregistrés pour cette adresse.

Comment exploiter la base SAM pour obtenir un Hash NTLM

La base SAM (Security Account Manager) est la base de donnée utilisée par Windows pour stocker les informations des comptes locaux et notamment les mots de passes sous forme de Hash NTLM ou NT Hash. C’est également un des composants de la base de registre.

Cette base est stockée dans le répertoire C:\Windows\System32\Config

SAM path

Seul le compte SYSTEM possède les autorisations requises pour accéder à son contenu. La commande PsExec peut être utilisée pour ouvrir le registre avec les privilèges appropriés.

SAM – Compte local

Pour extraire les Hash NTLM de la base SAM localement on peut utiliser Mimikatz (à condition d’obtenir un accès administrateur sur la machine et bypasser l’antivirus ou tout autre mécanisme de protection).

Mimikatz – lsadump::sam

On peut également utiliser Lazagne.

Lazagne

L’algorithme de génération d’un Hash NTLM est assez simple. Il suffit de convertir le mot de passe au format Unicode Little-endian et d’y appliquer l’algorithme de hachage MD4.

On peut faire un test sur le site NTLM HASH Generator et voir que le NT Hash du compte Administrator correspond bien au mot de passe Azerty59.

NTLM Hash Generator

Une fois le Hash NTLM obtenu deux possibilité s’offre à nous :

  1. Tenter une attaque de type brute force ou dictionnaire pour obtenir le mot de passe en clair
  2. Tenter une attaque de type Pass The Hash (Pth) pour se connecter sur une autre machine

Pour la première attaque on va utiliser John pour essayer de cracker le NT Hash avec un dictionnaire (une simple liste de mot de passe). Pour cela Il faut créer un premier fichier formaté avec le NT Hash du compte Administrator et un un deuxième avec la liste de mots de passe à tester.

NTLM Hash
Password list

john.exe –format=NT –wordlist=Password-List.txt .\NTLM-Hash.txt

John NT format

Si vous ne trouvez aucun mot de passe, il reste la possibilité d’effectuer une attaque par force brute. Cependant, cela nécessitera une machine suffisamment puissante et dépendra de la faiblesse ou non du mot de passe.

Pour la deuxième attaque on peut utiliser Mimikatz pour créer une nouvelle session en tant qu’Administrateur avec le Hash NTLM et ainsi pouvoir se connecter sur une machine distante via le protocole NTLM.

Dans mon exemple une fois la session créée par Mimikatz une nouvelle fenêtre cmd est automatiquement ouverte avec les identifiants du compte Administrateur chargées en mémoire. Cela me permet ensuite à l’aide de PsExec d’ouvrir un session à distance depuis la machine CL01 (10.0.0.15) sur le contrôleur de domaine DC-01 (10.0.0.2) le tout sans jamais connaitre le mot de passe.

Mimikatz – Pass the hash

En analysant le trafic réseau avec Wireshark on constate bien que le protocole utilisé pour l’authentification est NTLM.

Wireshark – NTLMSSP

On peut également réaliser cette attaque depuis une machine linux avec impacket-psexec. Pas besoin de mot de passe, l’important est juste connaitre le nom du compte et son NT Hash.

Bien évidemment cette attaque n’est possible que si le mot de passe du compte local usurpé est le même que sur la machine distante, peu importe que l’identifiant du compte soit le même ou pas. Dans mon cas, le compte local est Administrator et le compte distant correspond à l’utilisateur Administrateur du domaine, ce qui ne pose aucun problème, car le mot de passe (et donc le Hash NTLM) est le même. Il est donc possible de tenter une authentification NTLM avec un même NT Hash sur plusieurs compte différent afin de vérifier si ces comptes partagent le même mot de passe.

Pour atténuer au maximum le risque de vol et d’exploitation des identifiants de la base SAM il est recommandé de :

  • Restreindre le trafic NTLM entrant et sortant au niveau des machines via GPO (il faut bien sur réaliser un audit préalable)
  • Mettre en place une politique de mot passe robuste (même en cas de vol une tentative de brute force sera inutile)
  • Configurer un mot de passe différent pour le compte Administrateur local sur chaque machine (Mettre en place LAPS permet de régler ce problème)

Toutes les informations et techniques présentées sur ce blog sont strictement à des fins éducatives. L’utilisation de ces connaissances pour des activités illégales ou non autorisées est interdite.