V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
T1649Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Кража или подделка сертификатов аутентификации

Злоумышленники могут красть или подделывать сертификаты, используемые для аутентификации, для доступа к удаленным системам или ресурсам. Цифровые сертификаты часто используются для подписи и шифрования сообщений и/или файлов. Сертификаты также используются в качестве материала аутентификации. Например, сертификаты устройств Entra ID и сертификаты служб сертификации Active Directory (AD CS) привязываются к идентификатору и могут использоваться в качестве учетных данных для учетных записей домена. Сертификаты аутентификации могут быть как украдены, так и подделаны. Например, сертификаты AD CS могут быть украдены из зашифрованного хранилища (в реестре или файлах), потерянных файлов сертификатов (т.е. Незащищенные учетные данные) или напрямую из хранилища сертификатов Windows через различные криптографические API. При наличии соответствующих прав регистрации пользователи и/или машины в домене также могут запрашивать и/или вручную обновлять сертификаты у корпоративных центров сертификации (CA). Этот процесс регистрации определяет различные параметры и разрешения, связанные с сертификатом. Следует отметить, что значения расширенного использования ключа (EKU) сертификата определяют варианты использования для подписи, шифрования и аутентификации, а значения альтернативного имени субъекта (SAN) сертификата определяют альтернативные имена владельца сертификата. Злоупотребление сертификатами для учетных данных аутентификации может включить другое поведение, такое как Горизонтальное перемещение. Неправильные конфигурации, связанные с сертификатами, также могут создать возможности для Повышения привилегий, позволяя пользователям выдавать себя за привилегированные учетные записи или принимать привилегированные учетные записи или разрешения через идентификаторы (SAN), связанные с сертификатом. Эти злоупотребления также могут обеспечить Закрепление путем кражи или подделки сертификатов, которые могут использоваться как Действительные учетные записи в течение срока действия сертификата, несмотря на сброс пароля пользователя. Сертификаты аутентификации также могут быть украдены и подделаны для учетных записей машин. Злоумышленники, имеющие доступ к закрытым ключам корневого (или подчиненного) сертификата CA (или механизмам защиты/управления этими ключами), также могут установить Закрепление, подделывая произвольные сертификаты аутентификации для домена жертвы (известные как "золотые" сертификаты). Злоумышленники также могут нацеливаться на сертификаты и связанные службы для доступа к другим формам учетных данных, таким как билеты на выдачу билетов (TGT) Золотого билета или открытый текст NTLM.

Тактики

Получение учетных данных

Платформы

WindowsLinuxmacOSIdentity Provider

Меры защиты

M1015
Настройка Active Directory
M1041
Шифрование чувствительных данных
M1042
Отключение или удаление компонентов и программ
M1047
Аудит
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.