Ein Windows-Tool namens Mimikatz kann Systemkennwörter aus Speicherabzügen oder Ruhezustanddateien extrahieren. Die Verwendung der Anwendung erfordert Zugriff auf das Administratorkonto.

Hauptziel

Dieses Tool macht sich eine Sicherheitslücke zunutze, die in allen aktuellen Versionen von Windows vorhanden ist. Das Passwort kann von Anwendern erlangt werden, indem sie die Schlüsselphrase aus dem Speicher entfernen und diesen entschlüsseln.

Alle sensiblen Informationen werden von Ihrem Betriebssystem als geschützte Hashes gespeichert. Nicht einmal hochspezialisierte Entschlüsselungsprogramme können die Schlüsselphrase durch Brute-Force-Verfahren herausfinden. Mehrere Windows-Dienste wie LSASS und Authentifizierungssicherheitsprüfungen verlangen jedoch das Kennwort des authentifizierten Benutzers im Klartext.

Schlüsselwort abgefangen

Sowohl 32-Bit- als auch 64-Bit-Betriebssysteme verfügen über ausführbare Dateien. Es wird empfohlen, dass Benutzer die Anwendung mit Administratorrechten starten. Die folgenden Schritte sind nacheinander auszuführen: sowohl sekurlsa::logonPasswords full als auch privilege::debug. Im Terminalfenster wird eine Liste aller derzeit angemeldeten Benutzer und ihrer Passwörter angezeigt.

Der Schlüssel muss mit PowerShell aus einem Speicherauszug extrahiert werden. Get-Process lsass | Out-Minidump kann an der Eingabeaufforderung des Terminals eingegeben werden. Der Systemordner erhält die erstellte DMP-Datei. Sie können sie auf einen anderen Rechner verschieben und dort den Befehl sekurlsa::minidump mit dem Namen der Dump-Datei als Argument ausführen. Auf die entschlüsselten Schlüssel können Sie anschließend mit sekurlsa::logonPasswords zugreifen.

Leistungsmerkmale

kostenlos zu verwenden und herunterzuladen;
ermöglicht das Abfangen von Passwörtern auf Systemen;
der Speicherauszug kann verwendet werden, um die Schlüsselphrase abzurufen;
es ist möglich, eine Liste aller derzeit aktiven Benutzer und Passwörter anzuzeigen;
kompatibel mit allen aktuellen Windows-Versionen.