Attributs liés au « Credential Roaming » non protégés
low
Langue :
Description
Pour permettre à un utilisateur l'accès à ses documents chiffrés à travers le réseau, les identifiants sont propagés via un mécanisme appelé le "Credential roaming". Ils sont stockés dans l'Active Directory et chiffrés par une clé dérivée du mot de passe utilisateur, mais aussi d'une clé stockée dans l'attribut ms-PKI-DPAPIMasterKeys, elle-même protégée par une clé de backup secrète. Si ces identifiants et cette clé de backup sont accessibles à des utilisateurs illégitimes, alors des données sensibles seront susceptibles d'être exposées ou leur accès bloqué.
Solution
Si les attributs liés au « credential roaming » sont accessibles à un attaquant, celui-ci sera capable de déchiffrer des données potentiellement confidentielles ou d'en bloquer l'accès pour créer des problèmes de déni de service.
Voir aussi
Détails de l'indicateur
Nom: Attributs liés au « Credential Roaming » non protégés
Nom de code: C-CREDENTIAL-ROAMING
Niveau de gravité: Low
Tactiques: TA0003
Techniques: T1098
Outils connus des attaquants
Michael Grafnetter: DSinternals
Benjamin Delpy: Mimikatz - DCShadow module