潜在明文密码
high
语言:
描述
管理员可以将敏感信息存储在 AD 对象属性中,以简化他们的工作。但是,由于任何域用户都可以读取这些属性,因此存储密码或密钥可能会有凭据被盗的风险,从而危害基础设施。
解决方案
组织内的任何用户都可以读取大多数 AD 对象中的属性。IT 管理员可能会使用某些属性来存储敏感信息,如密码、密钥和其他凭据。为防止可能发生的有效凭据暴露,他们必须避免在对象属性中存储这类敏感信息。
另见
BlackHills InfoSec - Gathering secrets with AD Explorer
指标详细信息
名称: 潜在明文密码
代码名称: C-CLEARTEXT-PASSWORD
严重性: High
类型: Active Directory Indicator of Exposure
Family: 身份验证和凭据
- 策略: TA0008 - 横向移动
- 策略: TA0004 - 特权提升
- 技术: T1078 - 有效帐户
- 策略: TA0006 - 凭据访问
- 技术: T1552 - 不安全凭据
攻击者已知工具
SysInternal: AD Explorer