Detecciones

Indicadores

Información general

Indicadores de ataque

Indicadores de exposición

Shadow Credentials

high

Idioma:

Descripción

La técnica de puerta trasera Shadow Credentials explota la característica legítima “Windows Hello para Empresas” de Microsoft. Si Active Directory no usa esta característica, resulta sencillo detectar este mecanismo de persistencia. Si la usa, los errores de configuración podrían indicar una vulneración o prácticas de administración deficientes.

Solución

Los errores de configuración de las credenciales de claves en la característica Windows Hello para Empresas pueden tener un impacto significativo en la seguridad de Active Directory, lo que incluye la posible introducción de métodos de autenticación alternativos. Por lo tanto, es imprescindible prestarles total atención y supervisión.

Consulte también

Black Hat Europe 2019 - Exploiting Windows Hello for Business

Shadow Credentials Abusing Key Trust Account Mapping for Account Takeover

Shadow Credentials

Parsing the msDS-KeyCredentialLink value for ShadowCredentials attack

WHfB and Entra ID - Say hello to your new cache flow

Detalles del indicador

Nombre: Shadow Credentials

Nombre en clave: C-SHADOW-CREDENTIALS

Gravedad: High

Tipo: Active Directory Indicator of Exposure

Family: Autenticación y credenciales

Información de MITRE ATT&CK:

Táctica: TA0003 - Persistence (texto en inglés)
- Técnicas: T1098 - Account Manipulation (texto en inglés)
Táctica: TA0006 - Credential Access (texto en inglés)
- Técnicas: T1556 - Modify Authentication Process (texto en inglés)

Herramientas conocidas de atacantes

Michael Grafnetter: DSInternals

Elad Shamir: Whisker

Charlie Bromberg: pywhisker