Extracción de claves de copia de seguridad de dominio de DPAPI

critical

Descripción

Las claves de copia de seguridad de dominio de DPAPI son parte fundamental de la recuperación de secretos de DPAPI. Diversas herramientas de ataque se centran en extraer estas claves de los controladores de dominio mediante llamadas RPC a LSA. Microsoft reconoce que no existe ningún método admitido para rotar o cambiar estas claves. Por lo tanto, si las claves de copia de seguridad de DPAPI para el dominio se ponen en peligro, se recomienda crear un dominio totalmente nuevo desde cero, lo que conlleva una operación costosa y prolongada.

Consulte también

CQLabs - Extracting Roamed Private Keys from Active Directory

Operational Guidance for Offensive User DPAPI Abuse

DPAPI Secrets (texto en inglés)

DPAPI backup keys on Active Directory domain controllers (texto en inglés)

Detalles del indicador

Nombre: Extracción de claves de copia de seguridad de dominio de DPAPI

Nombre en clave: I-AdDpapiKey

Gravedad: Critical

Tipo: Indicator of Attack

Información de MITRE ATT&CK:
Identificador: T1552.004
Subtécnica de: T1552
Táctica: TA0006