Siguiente artículo relacionado:

Existen varias formas de poder visualizar las credenciales dominio\usuario y password de los recursos de red almacenados, servicios de RDP entre otro tipo de credenciales almacenadas de Windows.

Para que este almacenamiento sea posible debemos tener habilitado y en ejecución (por defecto ya suele estarlo) el servicio de “Administrador de credenciales” (VaultSvc) que proporciona el almacenamiento seguro y recuperación de credenciales de usuarios.

Hace uso de LSASS (Local Security Authority Subsystem Service) responsable de la política de seguridad en el sistema, audita y verifica quién inicia sesión en sistemas Windows, cambios de contraseñas y crea tokens de acceso.

Figura 1: Servicio de administrador de credenciales.

Figura 1: Servicio de administrador de credenciales.

Cuando se accede a un recurso de red el cual nos solicita usuario y contraseña mediante una autenticación NTLM y se marca el checkbox de “recordar esta contraseña” esta se almacena en un fichero cifrado en nuestro perfil de usuario añadiéndose a Windows Vault.

C:\Users\USUARIO\AppData\Roaming\Microsoft\Credentials
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Credentials
C:\Users\USUARIO\AppData\Local\Microsoft\Vault
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Vault
C:\ProgramData\Microsoft\Vault

Administrador de credenciales Link to heading

Una de las formas más habituales para visualizar las credenciales almacenadas de Windows es a través del Administrador de credenciales situado en el panel de control. Ahí veremos tanto las credenciales de Windows como las credenciales web, en caso de que tengamos guardadas credenciales de sitios web en Internet Explorer únicamente.

Figura 2: Administrador de credenciales de Windows.

Figura 2: Administrador de credenciales de Windows.

KRShowKeyMgr Link to heading

Otra forma de gestionar estas credenciales es a través del “KRShowKeyMgr”, se puede ver las credenciales almacenadas, borrarlas y agregar nuevas de forma gráfica.

Para invocar esta ventana escribimos en una cmd o una ventana ejecutar:

rundll32.exe keymgr.dll, KRShowKeyMgr

Figura 3: KRShowKeyMgr - Administrador de nombres de usuario y contraseñas almacenadas.

Figura 3: KRShowKeyMgr - Administrador de nombres de usuario y contraseñas almacenadas.

cmdkey Link to heading

Si no tenemos acceso (por restricciones GPO de dominio o similar) al panel de control o poder invocar desde ejecutar, pero si a una consola cmd. Podemos ver estas credenciales a través del comando cmdkey.

Realmente esto es lo que se está usando de forma subyacente a las interfaces gráficas anteriores.

Figura 4: cmdkey - Administrador de credenciales.

Figura 4: cmdkey - Administrador de credenciales.

Mostrando la ayuda con “cmdkey /?” vemos las posibilidades que tenemos.

Para mostrar la lista de credenciales disponibles:
   cmdkey /list
   cmdkey /list:destino
Para crear credenciales de dominio:
   cmdkey /add:destino /user:usuario /pass:contraseña
   cmdkey /add:destino /user:usuario /pass
   cmdkey /add:destino /user:usuario
   cmdkey /add:destino /smartcard
Para crear credenciales genéricas:
El modificador /add puede reemplazarse por /generic para crear credenciales genéricas
Para eliminar credenciales existentes:
   cmdkey /delete:destino
Para eliminar credenciales RAS (Remote Access Service):
   cmdkey /delete /ras

Herramientas de terceros Link to heading

Todo lo anterior son formas nativas del sistema de poder gestionar estas credenciales almacenadas. Pero no permite visualizar las contraseñas en texto plano. Para ello podemos usar algunas herramientas de terceros. Nirsoft desarrolla multitud de herramientas de este tipo para sistemas Windows.

Detección como PUA/hacktool

La mayoría de utilidades de Nirsoft que descifran credenciales almacenadas (Mail PassView, ChromePass, WebBrowserPassView, etc.) están firmadas como PUA o hacktool por Defender y otros AV/EDR. Espera bloqueos, cuarentenas y alertas en SIEM si las ejecutas en una máquina monitorizada.

CredentialsFileView descifra y muestra las contraseñas en texto plano almacenadas en los archivos de credenciales de Windows (C:\Users\USUARIO\AppData\Roaming\Microsoft\Credentials).

Figura 5: Credentials File View.

Figura 5: Credentials File View.

VaultPasswordView descifra las contraseñas y otros datos almacenados en Windows Vault (C:\Users\USUARIO\AppData\Local\Microsoft\Vault) del sistema actual o de una unidad externa que se le indique.

Figura 6: Vault Password View.

Figura 6: Vault Password View.

EncryptedRegView según se le indique escanea el registro de Windows del disco local o de un disco externo. Busca datos cifrados con DPAPI (Data Protection API), intenta descifrarlos y mostrarlos en texto plano. No solo mostrará contraseñas almacenadas sino también otro tipo de datos que estuviesen cifrados de productos de Microsoft y también de terceros.

Figura 7: Encrypted Registry View.

Figura 7: Encrypted Registry View.

Network Password Recovery similar a CredentialsFileView con la diferencia de que este solo muestra aquellas credenciales que afecten con recursos de red.

Figura 8: Network Password Recovery.

Figura 8: Network Password Recovery.

Saludos!