Como as credenciais do Windows em cache são armazenadas na máquina local?

Como as credenciais de domínio em cache do Active Directory são armazenadas em um cliente Windows? Eles são armazenados no banco de dados SAM local, tornando-os suscetíveis aos mesmos ataques de tabela arco-íris aos quais as contas de usuários locais são suscetíveis ou são armazenados de maneira diferente? Observe que percebo que eles são salgados e com hash, para não serem armazenados em texto sem formatação, mas eles são da mesma maneira que as contas locais e são armazenados no mesmo local?

Sei que, no mínimo, eles são suscetíveis a ataques de força bruta, mas essa é uma situação muito melhor do que ser vulnerável às tabelas do arco-íris no caso de uma máquina roubada.

"Credenciais em cache"

As credenciais em cache para um domínio do AD são na verdade salgados hashes duplos da senha e armazenados na seção HKLM \ Security. O local do arquivo da seção é: %systemroot%\System32\config\SECURITY

Somente o usuário do "sistema" tem acesso às chaves do Registro:
HKLM\Security\Cache\NL$nonde nestá um índice 1 com o número máximo de credenciais em cache.

Suscetibilidade a ataques

O WinNT para WinXP usava hashes "Lan Manager" para contas locais , que são facilmente quebradas em hardware moderno. O crack geralmente leva alguns minutos (eu recentemente fiz 3 senhas em 00:08:06) com apenas um computador desktop "normal". Os hashes do Lan Manager não são salgados, portanto, também existem tabelas arco-íris publicamente disponíveis.

O Vista e mais tarde usam hashes do NT para contas locais . O Windows 2000 e versões posteriores também usam hashes do NT para contas de domínio . Os hashes NT são hashes duplos MD4 salgados. O salt por entrada impede o uso de tabelas arco-íris, mas o MD4 pode ser executado muito rapidamente em hardware moderno: cerca de 6 anos de computação para uma senha de 60 bits. Com sorte e um cluster de 6 GPU, um cracker pode quebrar esse tipo de senha em ~ 6 meses. Levando isso para a nuvem, cerca de US $ 35 mil na GPU Amazon EC2 - dependendo da disponibilidade, pode levar horas.

As credenciais não são realmente armazenadas em cache na máquina local. Veja este trecho da MS:

Segurança de credenciais de domínio em cache

O termo credenciais em cache não descreve com precisão como o Windows armazena em cache as informações de logon para logons de domínio. No Windows 2000 e em versões posteriores do Windows, o nome de usuário e a senha não são armazenados em cache. Em vez disso, o sistema armazena um verificador criptografado da senha. Esse verificador é um hash MD4 salgado que é calculado duas vezes. A computação dupla efetivamente torna o verificador um hash do hash da senha do usuário. Esse comportamento é diferente do comportamento do Microsoft Windows NT 4.0 e versões anteriores do Windows NT.

http://support.microsoft.com/kb/913485

Eles são manipulados pelo Credential Manager, para o qual existe uma API do Credential Manager. Os hashes salgados são armazenados de maneira um tanto segura no disco e acessados ​​via HKLM \ Security. (Que só pode ser acessado por LocalSystem por padrão, mas é fácil ignorar, por exemplo, por psexec -i -s regedit.exe.)

No entanto, em um sistema Windows em execução, a situação é mais grave, pois as credenciais usadas recentemente podem ser obtidas e facilmente revertidas em texto sem formatação, conectando uma DLL ao Lsass. (Veja Mimikatz.)

Então, sim, você encontrará algum tipo de hash (ou hash de um hash, ou 'verificador' ou o que você quiser chamar) em HKLM \ Security \ Cache no cliente. Mas não acho que exista uma maneira viável de atacar o hash no disco. Não é o mesmo tipo antigo de hash NTLM que é atacável.