Langue :
Pour permettre à un utilisateur l'accès à ses documents chiffrés à travers le réseau, les identifiants sont propagés via un mécanisme appelé le "Credential roaming". Ils sont stockés dans l'Active Directory et chiffrés par une clé dérivée du mot de passe utilisateur, mais aussi d'une clé stockée dans l'attribut ms-PKI-DPAPIMasterKeys, elle-même protégée par une clé de backup secrète. Si ces identifiants et cette clé de backup sont accessibles à des utilisateurs illégitimes, alors des données sensibles seront susceptibles d'être exposées ou leur accès bloqué.
Si les attributs liés au « credential roaming » sont accessibles à un attaquant, celui-ci sera capable de déchiffrer des données potentiellement confidentielles ou d'en bloquer l'accès pour créer des problèmes de déni de service.
Nom: Attributs liés au « Credential Roaming » non protégés
Nom de code: C-CREDENTIAL-ROAMING
Sévérité: Low
Michael Grafnetter: DSinternals
Benjamin Delpy: Mimikatz - DCShadow module