Time(less) LAPS. Закрепляем анонимный доступ к паролям локальных админов

Механизм RecoveryMode в Windows LAPS позволяет расшифровывать пароли локальных администраторов даже при удаленных «дешифраторах». В статье ты узнаешь, как это сделать, а вишенка на торте — proof-of-concept RPC-интерфейса, который умеет безопасно и скрытно запрашивать LAPS-пароли прямо из SYSTEM-контекста на контроллере домена.

Это исследование получило первое место на Pentest Award 2025 в категории «Раз bypass, два bypass». Соревнование ежегодно проводится компанией Awillix.

Однажды в небезызвестном чатике RedTeam Brazzers зашел разговор о том, как сейчас работает обновленный механизм смены паролей локальных администраторов в AD — Windows LAPS (ранее Microsoft LAPS, теперь называемый Legacy LAPS). Там же обсудили и другой момент: можно ли при атаке DCSync за один раз получить пароли всех локальных админов. Оказалось, что да — в Legacy LAPS эти пароли хранятся в LDAP как защищенные свойства, но без шифрования.

Однако такой же трюк не пройдет, если в инфраструктуре заказчика используется актуальный Windows LAPS, расшифрование паролей в котором проходит по протоколу MS-GKDI. Кроме того, в этом случае в домене AD можно задать только одного конкретного «дешифратора паролей» — учетную запись или группу пользователей, которым разрешено читать пароли локальных админов.

Мы задумались: как пентестеру закрепиться в Windows LAPS так, чтобы после получения максимальных прав в AD можно было в любой момент запросить пароль любого локального администратора, управляемого LAPS, даже если сменятся пароли у «расшифровщиков», имеющих доступ к этим данным?

В этом помогла одна особенность устройства Windows LAPS на контроллерах домена.