VU#164934: PDQ Deploy позволяе... Заметка

VU#164934: PDQ Deploy позволяет повторное использование удаленных учетных данных, что может скомпрометировать устройство и облегчить латеральное движение

"PDQ Deploy - это служба, используемая системными администраторами для развертывания программного обеспечения или обновлений на целевые машины в их сети. Она использует "режимы работы" для развертывания, включая режим "Deploy User", который создает учетные данные на целевом устройстве не безопасным способом. Эти учетные данные удаляются после полного развертывания, но злоумышленник может скомпрометировать их до удаления с помощью инструментов, таких как Mimikatz. Скомпрометированные учетные данные могут быть использованы для получения административного доступа на целевом устройстве или на других устройствах, включенных в PDQ Deploy через Active Directory. Чтобы уменьшить уязвимость, системным администраторам рекомендуется использовать LAPS, следовать рекомендациям на веб-сайте PDQ Deploy или использовать альтернативные режимы развертывания, такие как "Logged on User", который избегает уязвимости. Режим "Logged on User" требует ввода пользователя и доступен только в корпоративном режиме. Французский источник проверил и координировал эту уязвимость и случай с CERT/CC."