Anfällige Credential Roaming-bezogene Attribute

low

Beschreibung

Als „Credential roaming“ wird der Mechanismus bezeichnet, der es einem Benutzer ermöglicht, der es einem Benutzer ermöglicht, auf seine Geheimnisse auf allen Computern der Domäne zuzugreifen. Die Anmeldeinformationen werden in Active Directory gespeichert und mit einem aus dem Passwort des Benutzers abgeleiteten Schlüssel sowie einem im ms-PKI-DPAPIMasterKeys-Attribut gespeicherten Schlüssel geschützt, der wiederum mit einem geheimen Sicherungsschlüssel verschlüsselt ist. Wenn jedoch ein nicht privilegierter Benutzer diese Anmeldeinformationen und den Sicherungsschlüssel kontrolliert, werden die Geheimnisse des Benutzers anfällig.

Lösung

Ein Angreifer, der die Kontrolle über credential roaming-Attribute erlangt, kann potenziell vertrauliche Informationen entschlüsseln und darauf zuzugreifen oder sie löschen, um Denial-of-Service-Probleme zu verursachen.

Siehe auch

cqureacademy - Extracting roamed private keys

Indikatordetails

Name: Anfällige Credential Roaming-bezogene Attribute

Codename: C-CREDENTIAL-ROAMING

Schweregrad: Low

MITRE ATT&CK-Informationen:

Taktiken: TA0003 – Persistenz

Techniken: T1098 – Kontomanipulation

Bekannte Tools von Angreifern

Michael Grafnetter: DSinternals

Benjamin Delpy: Mimikatz - DCShadow module