“密码找回”功能暗藏杀机，可绕过Windows auth &BitLocker

当用户忘记密码时，他们经常需要IT支持，这对IT部门造成了巨大的代价。为了降低这些成本，许多公司的IT部门已经实施了自助式机制。

有什么问题？

运行密码重置机制的登录界面只是一个与登录过程相同的锁定浏览器。因此，它们通常不会对服务器进行身份验证，有时甚至不使用加密传输。此外对于加密的笔记本电脑，如果只使用了BitLocker而没有启用PIN，加密和本地认证机制也可以被完全绕过。

当用户点击密码重置链接时，笔记本电脑将尝试查找密码重置Web服务器的IP地址，并请求密码重置页面。  

攻击原理

可能采用ARP欺骗或MitM的手段，但在笔记本被盗的情况下，黑客则可以通过hacktop来轻松的设置DHCP，DNS和Web服务器。

使用一段简单的HTML代码，我们就可以将一个简单的网页返回到被盗的笔记本电脑。

当用户点击“忘记密码…”链接时，将返回以上我们定制的HTML页面，并呈现在锁定的浏览器中：

Windows登录进程是以NT AuthoritySystem系统身份运行的，因此当点击“浏览”按钮时，将打开以SYSTEM权限运行的公共文件对话框。此时，攻击者将可以访问到设备上存储的所有文件，并绕过了笔记本电脑的BitLocker加密。

接着我们浏览到WindowsSystem32并运行cmd.exe。当成功运行cmd.exe后，我们可以随意创建一个本地管理员账户，并使用该账户登录，这样我们也就绕过了Windows的身份验证机制。

如果被盗的笔记本电脑是域的一部分，则可能会恢复缓存的凭据，甚至连接到企业的基础设施。

建议

使用引导时增强的BitLocker PIN

对忘记密码机制进行相应的安全测试

当测试忘记的密码机制时，锁定浏览器应检查重置密码页面的SSL证书，如果证书不匹配，则不加载。