Cyber Sicurezza e “comodità” spesso sono due temi divergenti.
Se da una parte proliferano metodi di autenticazione più semplici come passwordless authentication, dall’altra la superficie di attacco cresce inevitabilmente.
Ne è un esempio l’attacco che prende il nome di Shadow Credential: l’attaccante “inietta” in uno (o più ) account Active Directory delle “Credenziali Ombra”, sfruttando un attributo noto come msDS-KeyCredentialLink, presente nei recenti metodi di autenticazione, come Windows Hello for Business e le chiavi di sicurezza FIDO2.
Difatti è come se un attaccante inserisse delle “credenziali invisibili” all’interno del sistema, che gli garantiscono un pass d’accesso esclusivo e difficile da rilevare.
Scritto in Python il tool pyWhisker permette ad un attaccante di manipolare l’attributo msDS-KeyCredentialLink di un oggetto user e/o computer, al fine di ottenerne il controllo completo.
Il tool difatti, interagisce con un tipo di autenticazione basata su chiavi crittografiche (KeyCredentials) che permette di accedere a un account o a un sistema senza usare una password tradizionale. Invece delle password, KeyCredentials utilizza coppie di chiavi crittografiche, composta da una chiave pubblica e una chiave privata, per autenticare gli utenti.
Vediamo le pricipali fetures del tool:
- Lista tutte le KeyCredentials ID legate all’oggetto target AD, ottenendone le informazioni specifiche.
- Aggiungere e/o rimuovere le nuove KeyCredentials.
- Aggiungere a più oggetti le KeyCredential, tramite uno spray attack.
- Esportare e/o Importare tutte le KeyCredentials in formato JSON.
