Source: SpecterOps — Dans une publication de recherche, les chercheurs détaillent des techniques permettant d’extraire des identifiants depuis des systèmes Windows entièrement patchés, même avec Credential Guard activé, en abusant de Remote Credential Guard (RCG).
Ils montrent que, depuis des contextes non privilégiés comme SYSTEM, il est possible d’obtenir des réponses NTLMv1 qui peuvent être craquées pour récupérer des NT hashes. De manière surprenante, l’approche fonctionne aussi lorsque Credential Guard est désactivé. Microsoft a été notifié mais a décliné la prise en charge du problème. Un outil de preuve de concept, DumpGuard, a été publié. 🧪🔧
Sur le plan technique, les chercheurs ont rétro‑ingéniéré les flux d’authentification des Terminal Services SSP, Negotiate SSP et Kerberos SSP pour dialoguer avec les interfaces Credential Guard via RCG. En établissant des contextes de sécurité avec des hôtes distants (ou des hôtes simulés à l’aide de comptes machines joints au domaine), ils invoquent des fonctions comme NtlmCalculateNtResponse afin d’obtenir des réponses NTLMv1 à des défis choisis (notamment 1122334455667788 pour des recherches via rainbow tables).
La technique exploite également, avec des privilèges SYSTEM, l’appel MsV1_0Lm20GetChallengeResponse du package d’authentification MSV1_0 pour extraire des identifiants d’utilisateurs connectés via RCG sur des serveurs, en contournant les protections classiques de dumping d’identifiants.
IOCs:
- Aucun indicateur de compromission (IOC) spécifique fourni.
TTPs observés/inférés du texte:
- Abus de Remote Credential Guard (RCG) pour interagir avec Credential Guard
- Rétro‑ingénierie de SSP Windows (Terminal Services, Negotiate, Kerberos)
- Invocation de NtlmCalculateNtResponse pour produire des réponses NTLMv1 à défi choisi
- Utilisation de MsV1_0Lm20GetChallengeResponse avec privilèges SYSTEM
- Production de réponses NTLMv1 permettant la récupération d’empreintes NT via rainbow tables
Conclusion: Il s’agit d’une publication de recherche avec mise à disposition d’un outil PoC (DumpGuard) visant à documenter une nouvelle voie d’exfiltration d’identifiants via RCG et SSP sur Windows.
🔗 Source originale : https://specterops.io/blog/2025/10/23/catching-credential-guard-off-guard/