El Administrador de cuentas de seguridad ( SAM ) es un archivo de base de datos [1] en Windows XP, Windows Vista, Windows 7, 8.1 y 10 que almacena las contraseñas de los usuarios. Se puede utilizar para autenticar usuarios locales y remotos. A partir de Windows 2000 SP4, Active Directory autentica a los usuarios remotos. SAM utiliza medidas criptográficas para evitar que usuarios no autenticados accedan al sistema.
Las contraseñas de usuario se almacenan en formato hash en una colmena de registro, ya sea como hash LM o como hash NTLM . Este archivo se puede encontrar %SystemRoot%/system32/config/SAM
y está montado en HKLM/SAM
.
En un intento por mejorar la seguridad de la base de datos SAM contra la piratería de software fuera de línea, Microsoft introdujo la función SYSKEY en Windows NT 4.0. Cuando SYSKEY está habilitado, la copia en disco del archivo SAM está parcialmente cifrada, de modo que los valores hash de la contraseña para todas las cuentas locales almacenadas en SAM se cifran con una clave (normalmente también conocida como "SYSKEY"). Se puede habilitar ejecutando el syskey
programa. [2]
Criptoanálisis
En 2012, se demostró que cada posible permutación de hash de contraseña NTLM de 8 caracteres se puede descifrar en menos de 6 horas. [3] En 2019, este tiempo se redujo a aproximadamente 2,5 horas mediante el uso de hardware más moderno. [4] [5]
En el caso de ataques en línea, no es posible simplemente copiar el archivo SAM a otra ubicación. El archivo SAM no se puede mover ni copiar mientras Windows se está ejecutando, ya que el kernel de Windows obtiene y mantiene un bloqueo exclusivo del sistema de archivos en el archivo SAM, y no liberará ese bloqueo hasta que el sistema operativo se apague o aparezca una " pantalla azul de la muerte ". se ha lanzado una excepción. Sin embargo, la copia en memoria del contenido del SAM se puede descargar utilizando varias técnicas (incluido pwdump ), lo que hace que los hashes de contraseña estén disponibles para ataques de fuerza bruta fuera de línea .
Eliminando hash LM
El hash LM es un protocolo comprometido y ha sido reemplazado por hash NTLM. La mayoría de las versiones de Windows se pueden configurar para deshabilitar la creación y el almacenamiento de hashes LM válidos cuando el usuario cambia su contraseña. Windows Vista y las versiones posteriores de Windows deshabilitan el hash LM de forma predeterminada. Nota: habilitar esta configuración no borra inmediatamente los valores hash LM del SAM, sino que habilita una verificación adicional durante las operaciones de cambio de contraseña que, en su lugar, almacenará un valor "ficticio" en la ubicación de la base de datos SAM donde el hash LM se almacenará. . (Este valor ficticio no tiene relación con la contraseña del usuario; es el mismo valor que se usa para todas las cuentas de usuario).
Ataques relacionados
En Windows NT 3.51, NT 4.0 y 2000, se ideó un ataque para evitar el sistema de autenticación local. Si el archivo SAM se elimina del disco duro (por ejemplo, si se monta el volumen del sistema operativo Windows en un sistema operativo alternativo), el atacante podría iniciar sesión con cualquier cuenta sin contraseña. Esta falla se corrigió con Windows XP, que muestra un mensaje de error y apaga la computadora. Sin embargo, existen utilidades de software, [6] que, mediante la metodología antes mencionada de usar una unidad virtual emulada o un disco de arranque (generalmente Unix / Linux, u otra copia de Windows como el entorno de preinstalación de Windows ) para montar la unidad local que aloja la partición NTFS activa y utiliza rutinas de software programadas y llamadas a funciones desde las pilas de memoria asignadas para aislar el archivo SAM de la estructura del directorio de instalación del sistema Windows NT (predeterminado:) %SystemRoot%/system32/config/SAM
y, según la utilidad de software particular que se esté utilizando, elimina la contraseña hashes almacenados para las cuentas de usuario en su totalidad o, en algunos casos, modifican las contraseñas de las cuentas de usuario directamente desde este entorno.
Este software tiene un uso muy pragmático y beneficioso como una utilidad de limpieza de contraseñas o recuperación de cuentas para las personas que han perdido u olvidado las contraseñas de sus cuentas de Windows, así como un posible uso como una utilidad de omisión de seguridad de software malintencionado. Esencialmente, otorgar a un usuario con suficiente capacidad, experiencia y familiaridad con el software de utilidad de craqueo y las rutinas de seguridad del kernel de Windows NT (así como el acceso local inmediato y sin conexión a la computadora de destino) la capacidad de omitir o eliminar por completo Windows contraseñas de cuenta de una computadora de destino potencial. Recientemente, Microsoft lanzó una utilidad llamada LockSmith, que es parte de MSDart. Sin embargo, MSDart no está disponible gratuitamente para los usuarios finales.
Ver también
Referencias
- ^ "Administrador de cuentas de seguridad (SAM)" . TechNet . Microsoft . Consultado el 11 de abril de 2014 .
- ^ "Cómo utilizar la utilidad SysKey para proteger la base de datos del Administrador de cuentas de seguridad de Windows" . Soporte . Microsoft Corporation . Consultado el 12 de abril de 2014 .
- ^ Goodin, Dan (10 de diciembre de 2012). "El clúster de 25 GPU descifra todas las contraseñas estándar de Windows en <6 horas" . Ars Technica . Consultado el 23 de noviembre de 2020 .
- ^ Claburn, Thomas (14 de febrero de 2019). "¿Usar una contraseña de Windows NTLM de 8 caracteres? No lo haga. Cada uno puede descifrarse en menos de 2,5 horas" . www.theregister.co.uk . Consultado el 26 de noviembre de 2020 .
- ^ hashcat (13 de febrero de 2019). "El hashcat 6.0.0 beta ajustado a mano y 2080Ti (relojes de valores) rompe la marca de velocidad de craqueo NTLM de 100GH / s en un solo dispositivo de cómputo" . @hashcat . Consultado el 26 de febrero de 2019 .
- ^ Un ejemplo de la utilidad de ataque de contraseña de NT sin conexión: http://cdslow.org.ru/en/ntpwedit/index.html
Este artículo se basa en material extraído del Diccionario gratuito de informática en línea antes del 1 de noviembre de 2008 e incorporado bajo los términos de "renovación de licencias" de la GFDL , versión 1.3 o posterior.