Detecciones

Atributos vulnerables relacionados con Credential Roaming

low

Idioma:

Descripción

“Credential roaming” es el mecanismo que permite a un usuario acceder a sus secretos en los equipos del dominio. Active Directory almacena las credenciales y las protege mediante una clave que se obtiene a partir de la contraseña del usuario y una clave que se almacena en el atributo ms-PKI-DPAPIMasterKeys, que está cifrado con una clave de copia de seguridad secreta. Sin embargo, si un usuario sin privilegios controla estas credenciales y la clave de copia de seguridad, los secretos del usuario se vuelven vulnerables.

Solución

Un atacante que obtenga el control de los atributos de credential roaming puede descifrar información confidencial y potencialmente acceder a ella, o eliminarla para provocar problemas de denegación de servicio.

Consulte también

cqureacademy - Extracting roamed private keys

Detalles del indicador

Nombre: Atributos vulnerables relacionados con Credential Roaming

Nombre en clave: C-CREDENTIAL-ROAMING

Gravedad: Low

Tipo: Active Directory Indicator of Exposure

Family: Autenticación y credenciales

Información de MITRE ATT&CK:

Táctica: TA0003 - Persistence (texto en inglés)
- Técnicas: T1098 - Account Manipulation (texto en inglés)

Herramientas conocidas de atacantes

Michael Grafnetter: DSinternals

Benjamin Delpy: Mimikatz - DCShadow module