Guardia de credenciales

Componente del sistema operativo de la computadora

Credential Guard es una tecnología de aislamiento basada en virtualización para LSASS que evita que los atacantes roben credenciales que podrían usarse para ataques de paso de hash . ^{[1] [2] [3] [4]} Credential Guard se introdujo con el sistema operativo Windows 10 de Microsoft . ^[1] A partir de la versión 20H1 de Windows 10, Credential Guard solo está disponible en la edición Enterprise del sistema operativo.

Resumen

Después de comprometer un sistema, los atacantes a menudo intentan extraer las credenciales almacenadas para seguir avanzando lateralmente por la red. Un objetivo principal es el proceso LSASS , que almacena las credenciales NTLM y Kerberos . Credential Guard evita que los atacantes descarguen las credenciales almacenadas en LSASS ejecutando LSASS en un contenedor virtualizado al que ni siquiera un usuario con privilegios de SISTEMA puede acceder. ^[5] A continuación, el sistema crea un proceso proxy llamado LSAIso (LSA Isolated) para comunicarse con el proceso LSASS virtualizado. ^{[6] [3] [7]}

Técnicas de bypass

Existen varias técnicas genéricas para robar credenciales en sistemas con Credential Guard:

• Un keylogger que se ejecuta en el sistema capturará cualquier contraseña ingresada. ^{[8] [3]}
• Un usuario con privilegios de administrador puede instalar un nuevo proveedor de soporte de seguridad (SSP). El nuevo SSP no podrá acceder a los hashes de contraseñas almacenados, pero podrá capturar todas las contraseñas después de que se instale el SSP. ^{[8] [9]}
• Extraer credenciales almacenadas de otra fuente, como se realiza en el ataque "Monólogo interno" (que utiliza SSPI para recuperar hashes NetNTLMv1 descifrables). ^[10]

Referencias

1. "Proteja las credenciales de dominio derivadas con Windows Defender Credential Guard". Centro de profesionales de TI de Windows . Consultado el 14 de septiembre de 2018 .
2. "Análisis de la superficie de ataque de la seguridad basada en virtualización de Windows 10" (PDF) . blackhat.com . Consultado el 13 de noviembre de 2018 .
3. Yosifovich, Pavel; Russinovich, Mark (5 de mayo de 2017). Windows Internals, Part 1: System architecture, processes, threads, memory management, and more (Funciones internas de Windows, parte 1: arquitectura del sistema, procesos, subprocesos, administración de memoria y más), séptima edición . Microsoft Press. ISBN 978-0-13-398647-1.
4. "Hoja de referencia de Credential Guard". insights.adaptiva.com . Consultado el 13 de noviembre de 2018 .
5. "Análisis profundo de Credential Guard, Credential Theft & Lateral Traversal". Microsoft Virtual Academy . Consultado el 17 de septiembre de 2018 .
6. "Desmitificación de Device Guard y Credential Guard de Windows 10". Microsoft TechNet, blog de Ash . Consultado el 17 de septiembre de 2018 .
7. "Técnica: volcado de credenciales". attack.mitre.org . Consultado el 8 de julio de 2019 .
8. "Windows Credential Guard & Mimikatz". nviso labs . 2018-01-09 . Consultado el 14 de septiembre de 2018 .
9. "Proveedores de soporte de seguridad de terceros con Credential Guard". Centro de desarrollo de Windows . Consultado el 14 de septiembre de 2018 .
10. "Recuperación de hashes NTLM sin tocar LSASS: el ataque "Monólogo interno"". andreafortuna.org . Archivado desde el original el 26 de mayo de 2018 . Consultado el 5 de noviembre de 2018 .