Windows Passwort knacken revisited

  • Über das Media Creation Tool einen USB-Stick mit Windows 10 vorbereiten
  • von diesem Stick einen PC booten
  • Sprache auswählen, Reparatur-Optionen, Kommandozeile
  • cd C:\Windows\system32\
  • ren Utilman.exe Utilman.irgendwas.exe
  • copy cmd.exe Utilman.exe
  • Bootstick schließen, PC neustarten
  • im Anmeldebildschirm die Eingabehilfen aufrufen
  • net users Administrator wasauchimmer
  • eventuell noch ein net users Administrator /active:yes
  • Alternativ mit jedem anderen Benutzer der von einem net users gelistet wird

Spätestens nach dem nächsten Neustart trägt der Administratorbenutzer nun das Kennwort „wasauchimmer“ – wie ihr es oben ja angegeben habt. Wollt ihr kein Klartextkennwort auf dem Bildschirm lasst das Kennwort weg, dann wird doppelt nach dem Kennwort gefragt ohne dass es angezeigt wird.
Die C-Platte ist auch im Bootstick die Systemplatte im PC, der Stick selbst hängt sich mit anderen Buchstaben ein.

Nach getaner Arbeit tut ihr das gleiche noch mal, nur eben wieder richtig umbenennen. Nun könnt ihr auch über die Menüoption „erweiterter Start“ in die Reparatur-CMD booten, dazu ist dann euer gesetztes Kennwort notwendig.

Dies ist kein spurenloser Angriff, sofern ihr das Kennwort welches es mal war nicht kanntet (was ja der Regelfall ist). LAPS wird dadurch nicht gebrochen, es gibt aber auch keinen großen Sicherheitsalarm wenn sich der Hash der Utilman.exe auf einmal geändert hat… Wenn doch, dann versucht ihr es halt mal mit der osk.exe oder ähnlichem. In dem Fall ist LAPS sogar ziemlich zuträglich weil das local-admin-Kennwort alsbald wieder auf die Domäne angepasst wird.

Es würde theoretisch mit jeder Distribution funktionieren, aber die Hersteller verpacken Secure Boot hinter immer mehr Fallstricken, da ist ein Windows-10-Bootstick doch besser.
Ohne Stick funktioniert das alles nicht, weil die erweiterten Startoptionen von der Maschine selbst vor der Reparatur-CMD mal eben Daten aus dem SAM-Accountspeicher sehen wollen, die ihr ja erst habt wenn ihr sie auch gesetzt habt.

Einzelne Aspekte könnten sich immer mal wieder ändern, ich könnte mir gut vorstellen dass demnächst auch die Stick-Reparaturoptionen Adminkennwörter für die cmd sehen wollen. Dann müsst ihr halt statt Windows ein Kali auf den Stick schreiben.
Warum Microsoft die Prozesse im Anmeldebildschirm unbedingt als nt-authority\system starten muss, müsste mir aber auch jemand noch mal erklären. Aber so lange Microsoft das noch so tut wird die Methode mit leichten Abwandlungen immer funktionieren.

Passwortänderungen August 2016: Dropbox und Opera Sync

Zwei Dienste bitten um Passwortänderung. Ein ernster Fall und ein nicht so ganz ernster Fall. Also erst die schlechte Nachricht:

Pixabay maklay62
Pixabay

Opera Sync hat unauthorisierten Zugriff auf die Sync-Server entdeckt.
Zitat aus der heutigen Mail:

The reason we have done this is because we detected an attack on some of our Opera sync servers. Our investigations are continuing but we believe some of our users’ passwords (that are still encrypted or securely hashed) and account information such as login names may have been compromised. As a precautionary measure, we have reset all of the Opera sync users’ passwords.

Kurz gesagt: Alle bisherigen Passwörter sind zurückgesetzt, über die „Passwort vergessen“ Funktion gibts neue. Ihr solltet, falls ihr das gleiche Passwort auch wo anders einsetzt dieses im gleichen Atemzug vielleicht auch gegen ein anderes ersetzen.

Wo wir jetzt schon bei „anderen“ sind – Dropbox bittet rein höflich darum dass alle Menschen, die Ihr Kennwort seit Mitte 2012 nicht geändert haben dies doch bitte tun sollten. Es gäbe keinen triftigen Grund dies zu verlangen, es sei eine reine Präventiv-Maßnahme.
Falls ihr dort auch gleich aktiv werdet, würde ich euch darum bitten gleich auch die 2-Faktor-Authentifizierung zu aktivieren. Mit der Google Authenticator App habt ihr eine Lösung die lokal auf eurem Smartphone läuft, ohne dass dieses eine Internetverbindung benötigt, das einzig wichtige beim Google Authenticator ist, dass eure Smartphone Uhr richtig eingestellt ist.

Google Authenticator
Google Authenticator
Developer: Google LLC
Price: Free
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
  • Google Authenticator Screenshot
(und auch fürs iPhone)

Mein Alternativ-Tipp statt Google Authenticator: Authenticator Plus (auch fürs iPhone), mit 3,19€ erst mal ein wenig teuer, bietet aber eine Pin-Sperre, bessere Kategorisierungen und eine „verschlüsselte“ Backup-Möglichkeit auf – Dropbox und co natürlich…
Wer gleich auf ganz sicher gehen will: Yubico Authenticator und ~54 Euro für einen YubiKey ausgegeben.
Damit hängen eure 2-Faktor-Keys an einem Stück Hardware, dass z.B. an eurem Schlüsselbund hängt. Bevor die 2-Faktor-Tokens angezeigt werden will euer Smartphone dann erst euren YubiKey per NFC sehen.

(Beitrag enthält Affiliate-Links)