Extracción de claves de copia de seguridad de dominio de DPAPI
critical
Idioma:
Descripción
Las claves de copia de seguridad de dominio de DPAPI son parte fundamental de la recuperación de secretos de DPAPI. Diversas herramientas de ataque se centran en extraer estas claves de los controladores de dominio mediante llamadas RPC a LSA. Microsoft reconoce que no existe ningún método admitido para rotar o cambiar estas claves. Por lo tanto, si las claves de copia de seguridad de DPAPI para el dominio se ponen en peligro, se recomienda crear un dominio totalmente nuevo desde cero, lo que conlleva una operación costosa y prolongada.
Consulte también
CQLabs - Extracting Roamed Private Keys from Active Directory
Operational Guidance for Offensive User DPAPI Abuse
DPAPI Secrets (texto en inglés)
DPAPI backup keys on Active Directory domain controllers (texto en inglés)