易受攻击的 credential roaming 相关属性

low

描述

用户若要跨域中计算机访问其密钥,则需通过称为“Credential roaming”的机制传输密钥。凭据存储在 Active Directory 中,并使用源自用户密码的密钥以及存储在 ms-PKI-DPAPIMasterKeys 属性中的密钥(本身使用密钥备份密钥进行加密)加以保护。如果这些凭据和备份密钥可由非特权用户控制,则用户密钥将易受攻击。

解决方案

如果攻击者可控制 credential roaming 属性,则能够解密和访问潜在机密信息,或删除这些信息并导致拒绝服务问题。

参见

cqureacademy - Extracting roamed private keys

指标详细信息

名称: 易受攻击的 credential roaming 相关属性

代码名称: C-CREDENTIAL-ROAMING

严重程度: Low

攻击者已知工具

Michael Grafnetter: DSinternals

Benjamin Delpy: Mimikatz - DCShadow module