VU#164934: PDQ Deploy에서 삭제된 자격... 노트

VU#164934: PDQ Deploy에서 삭제된 자격증명 재사용 허용으로 인해 장치가 손상되고 수평 이동이 용이해질 수 있음

PDQ Deploy는 시스템 관리자가 네트워크 내의 대상 기기에 소프트웨어 또는 업데이트를 배포하는 데 사용되는 서비스입니다. 배포를 위해 "실행 모드"를 사용하며, 대상 기기에 자격 증명을 안전하지 않게 생성하는 "Deploy User" 모드가 포함됩니다. 이러한 자격 증명은 전체 배포 후에 삭제되지만 Mimikatz와 같은 도구를 사용하여 삭제 전에 공격자가 자격 증명을 손상시킬 수 있습니다. 손상된 자격 증명은 대상 기기 또는 Active Directory를 통해 PDQ Deploy에 등록된 다른 기기에 관리자 액세스를 얻는 데 사용할 수 있습니다. 이 취약성을 완화하기 위해 시스템 관리자는 LAPS를 사용하거나 PDQ Deploy 웹사이트의 권장 사항을 따르거나 취약성을 피하는 "Logged on User"와 같은 대체 배포 모드를 사용해야 합니다. "Logged on User" 모드는 사용자 입력이 필요하며 Enterprise 모드에서만 사용할 수 있습니다. 프랑스어 소스는 이 취약성 노트와 사례를 CERT/CC와 검증 및 조정했습니다.