Так … поврежденный AD/недостающий GC

Строго говоря, нет, В теории необходимо только зарегистрировать событие отладки в несистемном администраторе (если, поскольку Вы не упомянули, Вам нужны другие системные учетные записи, чтобы иметь прямой доступ к памяти к другим компьютерам).

Я однако не соглашаюсь с идеей данной статьи (И хотя ее предвзятость, я часто не соглашаюсь с БЕЗ совета относительно любого количества тем).

Именно так я могу суммировать бумагу всем, кто может считать это, кто не уже знаком с нападением, Она идет что-то как. "Можно захватить GUID и/или Маркеры доступа из памяти или сеть и использовать их хешированное значение, никогда не зная старого пароля". Они продолжают тот распространенные способы сделать, это из ограниченной учетной записи включает катастрофический отказ сервиса, который использует учетные данные SMB/NetBIOS, затем сразу пытающиеся зарегистрировать CREATE_PROCESS_DEBUG_EVENT и вуаля - Мгновенный доступ к соответствующей пользовательской доле SMB.

Для тех из Вас, кто использует хеши, Это - вероятно, довольно очевидное нападение и является, конечно, не новым.

Моя проблема с этим - Почему? Почему взломщик прошел бы всю стычку захвата через память для хеша после катастрофического отказа (по-видимому), критического по отношению к системе сервиса. Если IPS не инициирован теперь - уверенный NOC.

Существуют сотни более легких путей, Отравления ARP, Ложного управления BPDU, перенаправления области OSPF, даже с помощью информации об исходном маршруте, Все фантастические способы прервать информация о SMB или MS-CHAP. Также, уязвимости расширения полномочий составляют дюжину десять центов на NT, Захват маркеров доступа из определенного приложения комично легок.

В конечном счете, От того, где я стою, Вы - путь более обеспеченное использование чего-то как Kerberos или RADIUS, При условии, что вид инфраструктуры не доступен - NTLMv2, который имеет более сложные алгоритмы Проблемы/Ответа, которые не могут быть man-in-the-middled без привилегированного ведома.