易受攻擊的 Credential Roaming 相關屬性

low

說明

「Credential roaming」機制可讓使用者在網域中的全體電腦上存取密碼。Active Directory 會儲存憑證,並透過從使用者密碼衍生的金鑰和儲存在 ms-PKI-DPAPIMasterKeys 屬性中的金鑰加以保護,該屬性本身是透過密碼備份金鑰加密。不過,若這些憑證和備份金鑰可由非特權使用者控制,則使用者密碼將易受攻擊。

解決方案

如果攻擊者可以控制 credential roaming 屬性,他們將能夠解密和存取潛在的機密資訊或將其刪除,進而導致拒絕服務問題。

另請參閱

cqureacademy - Extracting roamed private keys

指標詳細資料

名稱: 易受攻擊的 Credential Roaming 相關屬性

代碼名稱: C-CREDENTIAL-ROAMING

嚴重性: Low

MITRE 攻擊資訊:

攻擊者已知工具

Michael Grafnetter: DSinternals

Benjamin Delpy: Mimikatz - DCShadow module