VU#164934: PDQ Deployは、削除された資格... ノート

VU#164934: PDQ Deployは、削除された資格情報の再使用を許可し、デバイスを危険にさらし、横断的な移動を促進する。

PDQ Deployは、システム管理者がネットワーク内の特定のマシンにソフトウェアまたは更新プログラムを展開するために使用されるサービスです。展開には「実行モード」を使用しており、その中にはターゲットデバイス上で資格情報を安全でない方法で作成する「Deploy User」モードがあります。これらの資格情報は、展開が完了すると削除されますが、Mimikatzなどのツールを使用して削除前に攻撃者がこれらの資格情報を取得することができます。取得した資格情報は、ターゲットデバイスまたはPDQ Deployに登録されている他のデバイスで管理者アクセスを取得するために使用できます。この脆弱性を軽減するには、システム管理者はLAPSを使用したり、PDQ Deployのウェブサイトの推奨事項に従ったり、または「Logged on User」などの代替の展開モードを使用する必要があります。「Logged on User」モードでは、ユーザーの入力が必要であり、エンタープライズモードでのみ使用できます。フランスの情報源は、この脆弱性に関する注意と事例をCERT/CCと検証および調整しました。