Attributs liés au « Credential Roaming » non protégés

low

Description

Pour permettre à un utilisateur l'accès à ses documents chiffrés à travers le réseau, les identifiants sont propagés via un mécanisme appelé le "Credential roaming". Ils sont stockés dans l'Active Directory et chiffrés par une clé dérivée du mot de passe utilisateur, mais aussi d'une clé stockée dans l'attribut ms-PKI-DPAPIMasterKeys, elle-même protégée par une clé de backup secrète. Si ces identifiants et cette clé de backup sont accessibles à des utilisateurs illégitimes, alors des données sensibles seront susceptibles d'être exposées ou leur accès bloqué.

Solution

Si les attributs liés au « credential roaming » sont accessibles à un attaquant, celui-ci sera capable de déchiffrer des données potentiellement confidentielles ou d'en bloquer l'accès pour créer des problèmes de déni de service.

Voir aussi

cqureacademy - Extracting roamed private keys

Détails de l'indicateur

Nom: Attributs liés au « Credential Roaming » non protégés

Nom de code: C-CREDENTIAL-ROAMING

Sévérité: Low

Informations MITRE ATT&CK:

Outils connus des attaquants

Michael Grafnetter: DSinternals

Benjamin Delpy: Mimikatz - DCShadow module