Sprache:
Als „Credential roaming“ wird der Mechanismus bezeichnet, der es einem Benutzer ermöglicht, der es einem Benutzer ermöglicht, auf seine Geheimnisse auf allen Computern der Domäne zuzugreifen. Die Anmeldeinformationen werden in Active Directory gespeichert und mit einem aus dem Passwort des Benutzers abgeleiteten Schlüssel sowie einem im ms-PKI-DPAPIMasterKeys-Attribut gespeicherten Schlüssel geschützt, der wiederum mit einem geheimen Sicherungsschlüssel verschlüsselt ist. Wenn jedoch ein nicht privilegierter Benutzer diese Anmeldeinformationen und den Sicherungsschlüssel kontrolliert, werden die Geheimnisse des Benutzers anfällig.
Ein Angreifer, der die Kontrolle über credential roaming-Attribute erlangt, kann potenziell vertrauliche Informationen entschlüsseln und darauf zuzugreifen oder sie löschen, um Denial-of-Service-Probleme zu verursachen.
Name: Anfällige Credential Roaming-bezogene Attribute
Codename: C-CREDENTIAL-ROAMING
Schweregrad: Low
Taktiken: TA0003 – Persistenz
Techniken: T1098 – Kontomanipulation
Michael Grafnetter: DSinternals
Benjamin Delpy: Mimikatz - DCShadow module