Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
 

Описание уязвимости

Windows Credential Manager хранит учетные данные для входа на веб-сайты, приложения и/или устройства, которые запрашивают проверку подлинности через NTLM или Kerberos, в Credential Lockers.
Windows Credential Manager отделяет учетные данные веб-сайта от учетных данных приложения или сети и хранит их в двух хранилищах. Учетные данные сайтов сохраненных в Internet Explorer и Microsoft Edge управляются диспетчером учетных данных и хранятся в Web Credentials locker. Учетные данные приложений и сети хранятся в хранилище Windows Credentials locker.
Credential Lockers хранят учетные данные в зашифрованных файлах .vcrd, расположенных в папке:
%Systemdrive%\Users\[Имя пользователя]\AppData\Local\Microsoft\[Хранилище/Учетные данные]\
Ключ шифрования хранится в файле с именем Policy.vpol, обычно расположенном в той же папке, что и учетные данные.
Злоумышленник может получить учетные данные с помощью нескольких механизмов: 
  1. Используя vaultcmd.exe, который можно использовать для перечисления учетных данных, хранящихся в хранилище учетных данных, через интерфейс командной строки.
    vaultcmd.exe /listcreds:"Учетные данные для Интернета"
  2. Читая файлы, расположенные внутри Credential Lockers. 
  3. Злоупотреблять API Windows CredEnumerateA для перечисления учетных данных, управляемых Windows Credential Manager.
  4. Использовать средства восстановления паролей для получения простых текстовых паролей от Windows Credential Manager.

Описание типа актива

Microsoft Windows любых версий
Область действия: Вся организация
Классификация
КЦД: Конфиденциальность ?
STRIDE: Подмена пользователя ? Раскрытие информации ? Повышение привилегий ?
Источники угрозы
Внешний нарушитель - Низкий потенциал ?
Внутренний нарушитель - Низкий потенциал ?

Каталоги

БДУ ФСТЭК:
УБИ.074 Угроза несанкционированного доступа к аутентификационной информации
Угроза заключается в возможности извлечения паролей, имён пользователей или других учётных данных из оперативной памяти компьюте...

Связанные защитные меры

Ничего не найдено