Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание уязвимости

Windows Credential Manager хранит учетные данные для входа на веб-сайты, приложения и/или устройства, которые запрашивают проверку подлинности через NTLM или Kerberos, в Credential Lockers.
Windows Credential Manager отделяет учетные данные веб-сайта от учетных данных приложения или сети и хранит их в двух хранилищах. Учетные данные сайтов сохраненных в Internet Explorer и Microsoft Edge управляются диспетчером учетных данных и хранятся в Web Credentials locker. Учетные данные приложений и сети хранятся в хранилище Windows Credentials locker.
Credential Lockers хранят учетные данные в зашифрованных файлах .vcrd, расположенных в папке:
%Systemdrive%\Users\[Имя пользователя]\AppData\Local\Microsoft\[Хранилище/Учетные данные]\
Ключ шифрования хранится в файле с именем Policy.vpol, обычно расположенном в той же папке, что и учетные данные.
Злоумышленник может получить учетные данные с помощью нескольких механизмов: 
  1. Используя vaultcmd.exe, который можно использовать для перечисления учетных данных, хранящихся в хранилище учетных данных, через интерфейс командной строки.
    vaultcmd.exe /listcreds:"Учетные данные для Интернета"
  2. Читая файлы, расположенные внутри Credential Lockers. 
  3. Злоупотреблять API Windows CredEnumerateA для перечисления учетных данных, управляемых Windows Credential Manager.
  4. Использовать средства восстановления паролей для получения простых текстовых паролей от Windows Credential Manager.

Описание типа актива

Microsoft Windows любых версий
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality
Cвойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE: Подмена пользователя ? Подмена пользователя / Спуфинг / Spoofing of user identity
Незаконный доступ к идентификационным и аутентификационным данным пользователя и их использование. Защищаемое свойство - аутентичность/аутентификация.
Раскрытие информации ? Раскрытие информации / Information disclosure
Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство – конфиденциальность.
Повышение привилегий ? Повышение привилегий / Elevation of privilege
Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений действующих защитных механизмов. Защищаемое свойство – авторизация.
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель
Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель должен тем или иным способом получить доступ к процессам, проходящим в информационной системе.
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушитель
Под внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, не смотря на то, что они могут выполнять инструкции лиц, находящихся вне информационной системы.

Связанные защитные меры

Ничего не найдено