Tutorials

Guida Approfondita: Windows Password Hashes

Questa guida fornisce una panoramica dettagliata sui "Windows Password Hashes", integrando gli appunti raccolti con informazioni aggiuntive e tecniche di attacco comunemente usate in ambito penetratio

#exploitation#post-exploitation#windows

Guida Approfondita: Windows Password Hashes

Questa guida fornisce una panoramica dettagliata sui "Windows Password Hashes", integrando gli appunti raccolti con informazioni aggiuntive e tecniche di attacco comunemente usate in ambito penetration testing. Si tratta di un argomento fondamentale per la preparazione alla certificazione eJPT di eLearnSecurity.

1. Introduzione

Windows salva le password degli utenti in formato hash nel file SAM (Security Account Manager). Il processo di autenticazione e verifica delle credenziali è gestito dalla Local Security Authority (LSA).

Un hash è il risultato di una funzione matematica (hashing function) che trasforma un input (es. una password) in una stringa a lunghezza fissa. Questo processo è unidirezionale: non è possibile ottenere facilmente l'input originale dall'hash.

2. Tipologie di Hash usati da Windows

LM Hash (Lan Manager)

Utilizzato fino a Windows Server 2003, oggi considerato obsoleto e altamente insicuro.

Caratteristiche:

  • Divide la password in due blocchi da 7 caratteri.
  • Converte tutti i caratteri in maiuscolo.
  • Ogni blocco viene cifrato separatamente con DES.
  • Nessuna salt → vulnerabile a rainbow tables e brute-force.

Esempio:

bash
Password123
└──> PASSWO    --> DES --> Hash1
         RD123     --> DES --> Hash2
                 LM Hash = Hash1 + Hash2

NTLM (NT Hash)

Usato da Windows NT 4.0 in poi. A partire da Windows Vista, LM Hash è disabilitato di default, lasciando solo NTLM attivo.

Caratteristiche:

  • Utilizza l'algoritmo MD4 per hashar la password.
  • Supporta caratteri speciali e unicode.
  • Case sensitive.
  • Non divide la password.

Esempio:

bash
!Passw0rd123! --MD4--> NTLM Hash

3. Il File SAM (Security Account Manager)

Il file SAM si trova in:

bash
C:\Windows\System32\config\SAM

Caratteristiche:

  • Contiene gli hash delle password degli utenti locali.
  • Non può essere copiato mentre il sistema è in esecuzione.
  • È protetto dal kernel NT e bloccato in lettura.
  • Cifrato con SYSKEY (nei sistemi moderni).

Tecniche di Estrazione

Poiché il file è bloccato, l'approccio comune è dumper i dati dalla memoria del processo LSASS.exe (Local Security Authority Subsystem Service).

Strumenti comuni:

  • Mimikatz
  • ProcDump + strings
  • Pypykatz
  • Impacket (se da remoto)

Nota: è necessario avere privilegi SYSTEM o ADMIN per accedere a LSASS.

4. Tecniche di Attacco sui Password Hashes

1. Pass-the-Hash (PtH)

Permette l'autenticazione su un sistema remoto utilizzando direttamente l'hash NTLM, senza bisogno della password in chiaro.

Tool utili:

  • pth-winexe
  • wmiexec.py (Impacket)
  • mimikatz sekurlsa::pth

2. Cracking Hash

Consiste nel cercare di recuperare la password in chiaro a partire dall'hash, tramite:

  • Dizionari (wordlist)
  • Brute-force
  • Rainbow tables (soprattutto per LM)

Tool comuni:

  • hashcat
  • john the ripper

3. LSASS Dump & Parsing

Metodi di dump:

  • procdump.exe -ma lsass.exe lsass.dmp
  • task manager → "Create dump file" su LSASS

Parsing:

  • mimikatz sekurlsa::minidump lsass.dmp
  • pypykatz lsa minidump lsass.dmp

5. Protezioni e Best Practice

Protezioni di Windows:

  • Credential Guard: isola LSASS in una VM protetta.
  • WDAC/AppLocker: previene l'esecuzione di binari non autorizzati.
  • Windows Defender + AMSI: rileva tool come mimikatz.
  • LSASS Protezione con PPL (Protected Process Light): rende più difficile eseguire il dump.

Buone pratiche:

  • Disabilitare LM hash via GPO.
  • Utilizzare password complesse.
  • Monitorare accessi e dumping sospetti.
  • Abilitare logging avanzato (Sysmon, Audit, etc.).

6. Conclusione

La comprensione della gestione e della protezione degli hash delle password in ambienti Windows è cruciale per ogni ethical hacker. NTLM rimane un punto debole negli ambienti enterprise, specialmente se combinato con una gestione debole dei privilegi o con tecniche di lateral movement.

Prossimi argomenti consigliati:

  • Kerberos Ticket Attacks (Pass-the-Ticket, Golden Ticket)
  • Lateral Movement con PSExec / WMI / WinRM
  • Credential Dumping avanzato con DCSync

_Guida aggiornata al 2025. In linea con la preparazione alla certificazione eJPT._