derwowusste
Goto Top

Windows Credential Guard f. NTLM wurde bezwungen

Windows Credential Guard ist in der Lage, lokalen Angreifern das Ausnutzen von Pass-the-Hash unmöglich zu machen.
Es ist ein empfehlenswertes, seit Win11 22H2 sogar automatisch aktives, Sicherheitsfeature.

Leider hat sich Microsofts Conclusio
While Windows Defender Credential Guard is a powerful mitigation, persistent threat attacks will likely shift to new attack techniques(…)
nun bewahrheitet und jemand hat durchschaut, wie es zu brechen ist: https://research.ifcr.dk/pass-the-challenge-defeating-windows-defender-c ...

Dessen Erkenntnis
it appears that encrypted credentials can be used across reboots, contrary to some existing information. It seems that LSAIso does not use a per-boot secret to encrypt the credentials. Therefore, it is possible to return to the compromised machine at a later time to perform these operations
lässt sogar den Schluss zu, dass Credential Guard nicht hinreichend durchdacht ist.

Content-Key: 5254823117

Url: https://administrator.de/contentid/5254823117

Printed on: June 21, 2024 at 20:06 o'clock

Mitglied: 2423392070
2423392070 Jan 08, 2023 at 10:04:53 (UTC)
Goto Top
Vielleicht sollte man noch erwähnen, für die Leser die die Konsequenzen verstehen, es ist am NTLM so möglich.
Und NTLM ist das Spielkind, dass Mama nicht so mag.
Member: DerWoWusste
DerWoWusste Jan 08, 2023 updated at 10:43:39 (UTC)
Goto Top
Moin.

Ja, das wird vom Autor ja auch in den ersten Zeilen schon genannt. Er schließt jedoch nicht aus, dass auch Kerberos angegangen werden kann. Da viele Netzwerke nicht ohne NTLM auskommen bzw. deren Admins nicht verstehen, dass man NTLM auch abschalten kann, sofern man es nicht braucht, ist das Problem generell interessant.

Aber gut, ich habe den Titel angepasst.
Member: jsysde
jsysde Jan 08, 2023 at 11:44:21 (UTC)
Goto Top
Mahlzeit.

Wow - war ja nicht die Frage ob, sondern eher wann auch das "löchrig" wird.
Danke für den Hinweis.

Cheers,
jsysde
Mitglied: 2423392070
2423392070 Jan 08, 2023 at 11:48:52 (UTC)
Goto Top
Zitat von @jsysde:

Mahlzeit.

Wow - war ja nicht die Frage ob, sondern eher wann auch das "löchrig" wird.
Danke für den Hinweis.

Cheers,
jsysde

NTLM gilt schon we lange als potentiell unsicher? 10+ Jahre mittlerweile?
Member: watIsLos
watIsLos Jan 08, 2023 at 12:23:39 (UTC)
Goto Top
@DerWoWusste

Danke für die Interessante Sonntagslektüre! face-smile