TotalRecall Reloaded : extraction silencieuse des données Windows Recall sans droits admin
🔍 Contexte Publié sur GitHub (xaitax/TotalRecall), cet article présente TotalRecall Reloaded, un outil offensif ciblant la fonctionnalité Windows Recall de Microsoft. Il s’agit d’une analyse technique détaillée accompagnée d’un outil fonctionnel démontrant plusieurs failles architecturales dans la conception de sécurité de Recall. 🏗️ Architecture et vulnérabilité fondamentale Microsoft a sécurisé Windows Recall avec VBS enclaves, chiffrement AES-256-GCM, authentification Windows Hello et un hôte Protected Process Light (PPL). Cependant, le processus de rendu AIXHost.exe ne bénéficie d’aucune de ces protections (pas de PPL, pas d’AppContainer, pas d’enforcement d’intégrité de code). Tout processus s’exécutant en tant qu’utilisateur connecté peut y injecter du code et appeler les mêmes API COM que l’interface légitime. ...