Langue :
La technique de porte dérobée de Shadow Credentials exploite la fonctionnalité Microsoft légitime « Windows Hello Entreprise ». Si Active Directory n'utilise pas cette fonctionnalité, il est facile de détecter ce mécanisme de persistance. Dans le cas contraire, de mauvaises configurations pourraient indiquer une compromission ou de mauvaises pratiques de gestion.
Les mauvaises configurations des identifiants de clé dans la fonctionnalité Windows Hello Entreprise peuvent avoir de graves conséquences sur la sécurité d'Active Directory, introduisant potentiellement des méthodes d'authentification alternatives. Il est donc essentiel de leur accorder une attention et une surveillance appropriées.
Black Hat Europe 2019 - Exploiting Windows Hello for Business
Shadow Credentials Abusing Key Trust Account Mapping for Account Takeover
Parsing the msDS-KeyCredentialLink value for ShadowCredentials attack