VU#164934: PDQ Deploy ermöglic... Notiz

VU#164934: PDQ Deploy ermöglicht die Wiederverwendung gelöschter Anmeldedaten, was ein Gerät gefährden und laterale Bewegung erleichtern kann

"PDQ Deploy ist ein Dienst, den Systemadministratoren verwenden, um Software oder Updates auf ausgewählte Maschinen in ihrem Netzwerk zu verteilen. Es verwendet "Ausführungsmodi" für die Verteilung, einschließlich des "Deploy User"-Modus, der Anmeldeinformationen auf dem Zielgerät unsicher erstellt. Diese Anmeldeinformationen werden nach einer vollständigen Verteilung gelöscht, aber ein Angreifer kann sie vor der Löschung mithilfe von Tools wie Mimikatz kompromittieren. Die kompromittierten Anmeldeinformationen können verwendet werden, um Administratorzugriff auf das Zielgerät oder andere Geräte zu erhalten, die über Active Directory in PDQ Deploy eingeschrieben sind. Um diese Schwachstelle zu mildern, sollten Systemadministratoren LAPS verwenden, den Empfehlungen auf der PDQ Deploy-Website folgen oder alternative Verteilmodi wie "Angemeldeter Benutzer" verwenden, der die Schwachstelle vermeidet. Der "Angemeldeter Benutzer"-Modus erfordert Benutzereingaben und ist nur im Enterprise-Modus verfügbar. Eine französische Quelle hat diese Schwachstellenmitteilung und den Fall mit CERT/CC validiert und koordiniert."