Descoberta e escopo
A ferramenta de código aberto DPAPISnoop foi aprimorada para extrair entradas CREDHIST, permitindo a quebra offline de credenciais históricas do Windows e oferecendo uma visão mais profunda dos padrões de senhas. Lefteris Panos, Consultor de Segurança na LRQA Red Team, informou que a atualização adiciona capacidades de extração CREDHIST ao DPAPISnoop, permitindo a recuperação e análise de credenciais históricas do Windows junto com hashes de chaves mestras DPAPI.
O que é DPAPI e CREDHIST
A API de Proteção de Dados (DPAPI) da Microsoft é amplamente utilizada para proteger dados sensíveis do usuário, como credenciais de navegador, chaves de criptografia e segredos armazenados. Tradicionalmente, atacantes e equipes de teste de penetração focam na recuperação de Chaves Mestras DPAPI, que permitem a descriptografia de dados protegidos. No entanto, outro artefato menos explorado, o CREDHIST, desempenha um papel crítico no design da DPAPI.
Quando um usuário altera sua senha, o Windows mantém uma cadeia de chaves derivadas de senhas anteriores para garantir que dados criptografados mais antigos permaneçam acessíveis. Este histórico de credenciais é armazenado no arquivo CREDHIST localizado em: %APPDATA%\Microsoft\Protect. Cada entrada no arquivo representa uma senha anterior, criptografada usando material de chave derivado daquela senha, formando uma cadeia sequencial.
Novos modos de Hashcat
De acordo com Lefteris Panos na LRQA Red Team, a ferramenta DPAPISnoop atualizada pode analisar arquivos CREDHIST e converter entradas em formatos de hash passíveis de quebra offline. Esses hashes, identificados pelo prefixo "$credhist$", podem ser usados diretamente com o Hashcat. Para suportar isso, os pesquisadores introduziram dois novos modos do Hashcat:
- 1. 15920 para entradas CREDHIST usando 3DES com HMAC-SHA1.
- 2. 15930 para entradas usando AES-256 com SHA-512.
Isso permite que atacantes ou testadores façam força bruta em entradas de senha históricas independentemente, sem precisar descriptografar a chave DPAPI inteira de antemão. Uma vez que os hashes são extraídos, eles podem ser quebrados offline usando ferramentas baseadas em GPU como o Hashcat.
Impacto na segurança de credenciais
Se uma senha for recuperada, ela pode ser alimentada de volta no DPAPISnoop para descriptografar entradas adicionais na cadeia. Por exemplo, quebrar uma entrada CREDHIST do meio da cadeia revela o hash SHA1 ou NTLM de uma senha mais antiga, que pode então ser usada para desbloquear entradas adicionais. Esse processo iterativo permite a reconstrução do histórico de senhas de um usuário.
Notavelmente, entradas mais antigas frequentemente usam esquemas criptográficos mais fracos, como PBKDF2 baseado em SHA1 com 3DES, tornando-as significativamente mais fáceis de quebrar do que implementações modernas SHA-512 com contagens de iteração mais altas. Embora esse comportamento não seja uma vulnerabilidade, destaca como recursos legítimos do Windows podem ser aproveitados para obter credenciais quando atacantes ganham acesso ao sistema de arquivos.
Detectação e mitigação
Defensores devem monitorar o acesso anormal a caminhos relacionados à DPAPI, particularmente: %APPDATA%\Microsoft\Protect\CREDHIST, diretórios DPAPI específicos do usuário e acesso remoto via SMB ou compartilhamentos administrativos. Ferramentas de segurança como Sigma e Elastic já fornecem regras de detecção para acesso suspeito a arquivos de histórico de credenciais.
A chave é distinguir a atividade normal da DPAPI de padrões de acesso a arquivos anômalos. As organizações são aconselhadas a impor políticas de senha fortes, limitar o acesso local a arquivos e monitorar a atividade do endpoint para comportamento incomum relacionado a credenciais.
O que os CISOs devem fazer
A pesquisa de Lefteris Panos destaca como a revisão de mecanismos bem conhecidos como a DPAPI ainda pode descobrir novas oportunidades ofensivas, reforçando a importância da pesquisa contínua na segurança de credenciais do Windows. Equipes de segurança devem atualizar suas regras de detecção para incluir o acesso ao arquivo CREDHIST e considerar a rotação de senhas mais frequente para reduzir o valor de cadeias históricas de senhas.