По умолчанию Windows кеширует учетные данные в памяти и привилегированные локальные пользователи могут извлечь их.
Специалисты компании Dell SecureWorks разработали инструмент, позволяющий детектировать попытки хищения учетных данных Windows Active Directory и отслеживать их источник. Инструмент получил название DCEPT (Domain Controller Enticing Password Tripwire).
«В системах Microsoft Windows домен представляет собой группу компьютеров, зарегистрированных в центральной базе данных, известной как контроллер домена. При помощи компонента Active Directory системные администраторы могут управлять всеми учетными записями пользователей, процессами и разрешениями на устройствах, включенных в домен», - поясняют исследователи.
По словам специалистов, по умолчанию Windows кеширует учетные данные в памяти и привилегированные локальные пользователи могут извлечь их. Когда администратор домена входит в учетную запись на скомпрометированном устройстве (посредством клавиатуры, используя удаленный доступ или утилиты наподобие PsExec), пароль сохраняется в кеше учетных данных. При помощи популярных инструментов для хищения учетных данных атакующий с привилегиями локального администратора может сделать дамп с содержимым кеша и получить полный контроль над сетью.
DCEPT доступен на портале для разработчиков GitHub.
Стоит отметить, компания Google представила интерактивный опросник, позволяющий организациям оценить и улучшить защиту своих систем. Инструмент, получивший название Vendor Security Assessment Questionnaire (VSAQ), содержит ряд опросников, используемых Google для оценки многочисленных аспектов информационной безопасности.
VSAQ включает анкеты с вопросами, касающимися безопасности web-приложений, инфраструктуры, баз данных и пр. На основании ответов инструмент предложит ряд подсказок и рекомендаций для устранения проблем, представляющих угрозу безопасности. Приложение доступно на GitHub.