Куда я попал?
из-за уязвимости
Возможность получения учетных данных из Windows Credential Manager
в Активе
ОС Windows
Описание уязвимости
Windows Credential Manager хранит учетные данные для входа на веб-сайты, приложения и/или устройства, которые запрашивают проверку подлинности через NTLM или Kerberos, в Credential Lockers.
Windows Credential Manager отделяет учетные данные веб-сайта от учетных данных приложения или сети и хранит их в двух хранилищах. Учетные данные сайтов сохраненных в Internet Explorer и Microsoft Edge управляются диспетчером учетных данных и хранятся в Web Credentials locker. Учетные данные приложений и сети хранятся в хранилище Windows Credentials locker.
Credential Lockers хранят учетные данные в зашифрованных файлах .vcrd, расположенных в папке:
Windows Credential Manager отделяет учетные данные веб-сайта от учетных данных приложения или сети и хранит их в двух хранилищах. Учетные данные сайтов сохраненных в Internet Explorer и Microsoft Edge управляются диспетчером учетных данных и хранятся в Web Credentials locker. Учетные данные приложений и сети хранятся в хранилище Windows Credentials locker.
Credential Lockers хранят учетные данные в зашифрованных файлах .vcrd, расположенных в папке:
%Systemdrive%\Users\[Имя пользователя]\AppData\Local\Microsoft\[Хранилище/Учетные данные]\Ключ шифрования хранится в файле с именем Policy.vpol, обычно расположенном в той же папке, что и учетные данные.
Злоумышленник может получить учетные данные с помощью нескольких механизмов:
- Используя vaultcmd.exe, который можно использовать для перечисления учетных данных, хранящихся в хранилище учетных данных, через интерфейс командной строки.
vaultcmd.exe /listcreds:"Учетные данные для Интернета" - Читая файлы, расположенные внутри Credential Lockers.
- Злоупотреблять API Windows CredEnumerateA для перечисления учетных данных, управляемых Windows Credential Manager.
- Использовать средства восстановления паролей для получения простых текстовых паролей от Windows Credential Manager.
Описание типа актива
Microsoft Windows любых версий
Область действия: Вся организация
Классификация
КЦД:
Конфиденциальность
?
STRIDE:
Подмена пользователя
?
Раскрытие информации
?
Повышение привилегий
?
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внутренний нарушитель -
Низкий потенциал
?
БДУ ФСТЭК:
УБИ.074
Угроза несанкционированного доступа к аутентификационной информации
Угроза заключается в возможности извлечения паролей, имён пользователей или других учётных данных из оперативной памяти компьюте...
| Название | Severity | IP | Integral | |
|---|---|---|---|---|
| 1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111 |
-
|
1 |
-
|
|
| 11 111111111 111 1111111111111111111111111 1111 1 11111 1111111 |
-
|
1 |
-
|
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.