Selon Project Black (référence citée), cette publication décrit une technique d’accès physique bien connue permettant de contourner l’écran de connexion Windows en détournant la fonction d’accessibilité Sticky Keys.
Le cœur de l’attaque consiste à remplacer l’exécutable de Sticky Keys (sethc.exe) par l’invite de commandes (cmd.exe) dans C:\Windows\System32. Une fois à l’écran de login, l’appui sur MAJ cinq fois déclenche alors un shell en privilèges SYSTEM au lieu de l’outil d’accessibilité. Ce contournement permet de réinitialiser des mots de passe ou de créer des comptes administrateurs sans s’authentifier. ⚠️
L’opération requiert un accès physique à la machine et la possibilité de démarrer sur un support externe (ex. un environnement de boot). Des variantes mentionnées incluent l’usage d’outils comme NTPWEdit pour modifier directement la base SAM.
Côté défenses, la publication souligne que BitLocker constitue une mitigation efficace : le chiffrement de disque empêche l’accès au volume système sans clé de récupération, bloquant ainsi la modification des fichiers critiques.
Il s’agit d’une analyse technique visant à illustrer une technique de contournement d’authentification liée à l’accès physique et à rappeler l’importance du chiffrement disque comme contre-mesure.
TTPs observés:
- Détournement de la fonctionnalité d’accessibilité Sticky Keys pour exécuter cmd.exe avec SYSTEM.
- Boot sur média externe pour accéder et remplacer des fichiers système.
- Modification de la base SAM via NTPWEdit comme méthode alternative.
- Contre-mesure clé: BitLocker (chiffrement de disque avec clé de récupération).
IOCs:
- Aucun indicateur (IOC) fourni ou applicable (technique d’accès physique, non réseau).
🧠 TTPs et IOCs détectés
TTPs
Détournement de la fonctionnalité d’accessibilité Sticky Keys pour exécuter cmd.exe avec SYSTEM; Boot sur média externe pour accéder et remplacer des fichiers système; Modification de la base SAM via NTPWEdit comme méthode alternative; Contre-mesure clé: BitLocker (chiffrement de disque avec clé de récupération)
IOCs
Aucun indicateur (IOC) fourni ou applicable (technique d’accès physique, non réseau)
🔗 Source originale : https://projectblack.io/blog/bypassing-windows-login-without-password/