易受攻击的 Credential Roaming 相关属性

low

语言：

描述

“Credential roaming”是一个允许用户跨域中的计算机访问其密钥的机制。Active Directory 存储凭据，并使用源自用户密码的密钥以及 ms-PKI-DPAPIMasterKeys 属性中存储的密钥（使用备份密钥进行加密）来加以保护。然而，如果非特权用户控制了这些凭据和备份密钥，则用户密钥易受攻击。

解决方案

攻击者一旦获得对 credential roaming 属性的控制权，便可以解密和访问潜在的机密信息，或者删除这些信息，从而导致拒绝服务问题。

另见

cqureacademy - Extracting roamed private keys

指标详细信息

名称: 易受攻击的 Credential Roaming 相关属性

代码名称: C-CREDENTIAL-ROAMING

严重性: Low

类型: Active Directory Indicator of Exposure

Family: 身份验证和凭据

MITRE ATT&CK 信息:

策略: TA0003 - 持久性
- 技术: T1098 - 帐户操纵

攻击者已知工具

Michael Grafnetter: DSinternals

Benjamin Delpy: Mimikatz - DCShadow module