Descifrado DPAPI

0

Una aplicación que estoy buscando usar es el uso de DPAPI para cifrar un Secreto del Cliente como parte de un flujo de autenticación OAuth2. Se utilizará una cuenta de servicio de dominio para el cifrado con la contraseña almacenada en CyberArk.

Estoy tratando de entender cómo alguien puede descifrar el secreto del cliente. Basándome en la investigación, he hecho que un actor malintencionado necesitará obtener la contraseña de la cuenta de servicio y luego usar una herramienta de terceros (como DataProtectionDecryptor by NirSoft) para descifrar el secreto del cliente.

¿Mi entendimiento es correcto? ¿Se vuelve inútil DPAPI una vez que se conoce la contraseña de la cuenta de servicio en este caso?

    
pregunta deltzy 25.11.2018 - 20:34
fuente

1 respuesta

1

Bueno, si puedes iniciar sesión como servicio, puedes llamar a la DPAPI, por lo que si tienes la contraseña no es buena.

Si puede hacer que el código se ejecute en el contexto de la cuenta también a través de un fallo de inyección, también puede desencriptarlo.

Powershell tiene la capacidad de llamar %código% por ejemplo, que bajo el contexto de la cuenta le dará el secreto.

    
respondido por el McMatty 25.11.2018 - 21:50
fuente

Lea otras preguntas en las etiquetas