Académique Documents
Professionnel Documents
Culture Documents
fonctionnement, contre-mesures
et processus LSASS
(v3.04)
Tutorial conu et rdig par Michel de CREVOISIER - aot 2014
ARTICLES ASSOCIES
INDEX
1.
2.
3.
Processus dauthentification........................................................................................................... 5
3.2
4.
5.
5.2
5.3
5.4
Pare-feu ......................................................................................................................................... 8
5.5
Conclusion................................................................................................................................................... 10
1. Prsentation de Mimikatz
Derrire ce nom aux apparences douces et dlicates se cache en ralit un puissant outil capable de
djouer les mcanismes de scurit les plus robustes des systmes dexploitation Windows.
Dvelopp par Benjamin DELPY (alias @gentilkiwi) et apparu pour la premire fois en 2007, Mimikatz
(source) est capable de rcuprer :
Les mots de passe en mmoire
Les mots de passe du gestionnaire didentification de Windows
Les certificats ainsi que leur clef prive
Les tickets Kerberos ( des fins de rejeu)
Et bien dautres encore
Plus rcemment, une deuxime version de Mimikatz est apparue. Elle remet de lhuile sur le feu en
soulevant de nouvelles interrogations autour de la scurit de Windows et de lutilisation peu louable
dun tel logiciel : usurpation didentit, accs frauduleux des donnes, vol dinformations,
compromission de systmes dinformation Pour mener bien ces diffrents exploits, Mimikatz
dispose dun arsenal de modules la carte lists ci-dessous :
Dans cet article nous nous focaliserons uniquement sur le module sekurlsa dont la finalit est de
rcuprer lensemble des mots de passe dtenus en mmoire par le processus LSASS. Les rles et le
fonctionnement de ce processus seront par ailleurs prsents la suite.
5. Recommandations de scurit
Les recommandations cites la suite sont utiliser selon les contextes prsents dans ce tuto et
sont adapter selon les politiques et besoins de votre entreprise.
Limitez lutilisation de comptes locaux (avec ou sans privilges) pour lexcution de services
ou applications Windows. Prfrez pour cela lutilisation de comptes MSA ( Managed Service
Account ) ou gMSA ( Group Managed Service Account ) (tuto)
Activez lUAC ( User Account Control ) sur lensemble des postes et serveurs par GPO
(source) : Computer configuration > Windows settings > Security settings > Security options >
User account control : *
Utilisez des stations de relais ( jump station ) pour raliser les tches dadministration des
serveurs distance
Utilisez des comptes distincts pour lusage du poste de travail et ladministration des serveurs
Rduisez 2 le nombre didentifiants en cache ( cached logons ) (source)
5.4 Pare-feu
Dsactivez le partage de fichiers (SMB 445) sur les postes clients par GPO via le chemin suivant
pour empcher lutilisation de PSexec : Computer configuration > Windows settings > Security
settings > Windows Firewall with advanced security
Dsactivez les fournisseurs didentit (SSP) tels que DigestSSP (WDigest) et tspkg (CredSSP).
Cette action na toutefois plus dintrt depuis que Mimikatz est capable de rvler les mots
de passe du SSP Kerberos. A titre dinformation, la liste des fournisseurs activs est disponible
dans le registre lemplacement suivant (Windows 8.1) :
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\
Activez lenregistrement dvnements associs au chargement de SSP non signs. Pour cela,
crez la clef AuditLevel avec la valeur 8 lemplacement suivant :
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image
File Execution Options\LSASS.exe\
Conclusion
Mimikatz se prsente donc comme un outil innovant de par son fonctionnement et alarmant de par
ses fonctionnalits. Toutefois, de nouvelles techniques dattaques reposant sur Mimikatz se sont
dveloppes au fil des annes. Elles rendent son utilisation beaucoup plus souple en permettant son
excution distance et son exploitation partir de la bibliothque Metasploit (source).
10