VU#164934 : PDQ Deploy permet la réutilisation de références d'identification supprimées pouvant compromettre un appareil et faciliter le mouvement latéral.
PDQ Deploy est un service utilisé par les administrateurs système pour déployer des logiciels ou des mises à jour sur des machines ciblées au sein de leur réseau. Il utilise des "modes d'exécution" pour le déploiement, y compris le mode "Déployer l'utilisateur" qui crée de manière non sécurisée des informations d'identification sur l'appareil cible. Ces informations d'identification sont supprimées après un déploiement complet, mais un attaquant peut les compromettre avant leur suppression à l'aide d'outils tels que Mimikatz. Les informations d'identification compromises peuvent être utilisées pour obtenir un accès administrateur sur l'appareil cible ou sur d'autres appareils inscrits à PDQ Deploy par l'intermédiaire d'Active Directory. Pour atténuer cette vulnérabilité, les administrateurs système doivent utiliser LAPS, suivre les recommandations du site web PDQ Deploy ou utiliser d'autres modes de déploiement tels que "Logged on User" (utilisateur connecté) qui évite la vulnérabilité. Le mode "Logged on User" nécessite une entrée utilisateur et n'est disponible qu'en mode Entreprise. Une source française a validé et coordonné cette note de vulnérabilité et ce cas avec le CERT/CC.