Potenzielles Klartext-Passwort

high

Beschreibung

Administratoren speichern ggf. sensible Informationen in Attributen von AD-Objekten, um sich die Arbeit zu erleichtern. Da jedoch jeder Domänenbenutzer diese Attribute lesen kann, besteht bei der Speicherung von Passwörtern oder geheimen Schlüsseln die Gefahr, dass Anmeldeinformationen gestohlen werden und die Infrastruktur Schaden nimmt.

Lösung

Jeder Benutzer in der Organisation kann Attribute in den meisten AD-Objekten lesen. IT-Administratoren nutzen möglicherweise bestimmte Attribute, um sensible Daten wie Passwörter, Schlüssel oder andere Anmeldeinformationen zu speichern. Um die potenzielle Offenlegung gültiger Anmeldeinformationen zu verhindern, sollten solche sensiblen Informationen nicht in Objektattributen gespeichert werden.

Siehe auch

BlackHills InfoSec - Gathering secrets with AD Explorer

Microsoft - Active Directory User class

Microsoft - Active Directory Top class

Indikatordetails

Name: Potenzielles Klartext-Passwort

Codename: C-CLEARTEXT-PASSWORD

Schweregrad: High

MITRE ATT&CK-Informationen:

Taktiken: TA0006 – Zugriff auf Anmeldeinformationen, TA0004 – Rechteausweitung, TA0008 – Lateral Movement

Techniken: T1552 – Nicht abgesicherte Anmeldeinformationen, T1078 – Gültige Konten

Bekannte Tools von Angreifern

SysInternal: AD Explorer