T-Cross5 мая в 13:32

Атаки на защиту: Evilent или ещё один coerce

Средний

4 мин

Блог компании T.HunterИнформационная безопасность *

Комментарии 4

Какие риски содержит в себе утечка хеша машинной учебной записи ? И эта учетная запись заводится специально для антивируса ?

HalloweenVcK 6 мая в 04:52

Один из вариантов (который и отображен на скриншотах) - это при наличие в домене ADCS можно с помощью учетной записи получить сертификат контроллера домена, что по сути приводит к полной компрометации домена. Антивирус в данном случае (будучи в ядре) обращается от учетной записи компьютера, на котором запущен.

olegtsss 6 мая в 15:41

Я так понимаю, что можно обойтись и без ADCS, воспользовавшись Silver Ticket? Это скорее косяк в работе средств антивирусной защиты, нежели окружения windows. Их софт самостоятельно лезет куда не нужно.

T-Cross 6 мая в 10:57

В дополнение к предыдущему ответу, наибольший риск утечки хэша машинной УЗ - это полная компрометация этой самой машины или повышение привилегий\боковое перемещение в домене AD.
Машинная учетная запись это учетка самой операционный системы Windows от имени которой работают различные службы с максимальными привилегиями, в том числе на доменных машинах из под этой учетки работают некоторые антивирусы

Зарегистрируйтесь на Хабре, чтобы оставить комментарий