PDQ Deploy 安全风险：管理员凭证被盗问题

重点总结

• CERT 协调中心（CERT/CC）发布了关于 PDQ Deploy 的安全漏洞通告。
• 存在管理员凭证被盗的风险，攻击者可在凭证被删除之前通过本地访问获取这些凭证。
• 使用 PDQ Deploy 的“部署用户”模式和“本地系统”模式都存在凭证被盗的风险。
• 建议用户采取 Windows 本地管理员密码解决方案（LAPS）和最小权限原则来缓解风险。
• 除了使用 LAPS，使用“已登录用户”部署模式也是更安全的选择，但仅在 PDQ Deploy 企业版中可用。

CERT 协调中心（CERT/CC）发布了一则关于 PDQ Deploy 用户的安全漏洞通告，指出其面临管理员凭证被盗的风险。PDQ Deploy是一种服务，允许系统管理员在其网络内向计算机部署软件和更新。周三发布的 CERT/CC 通告详细描述了 PDQ Deploy在安装软件时使用的管理员凭证如何可能被拥有本地访问权限的攻击者盗取，这些凭证在被删除前就会暴露给攻击者。

漏洞详细说明

这一风险主要出现在管理员使用 PDQ Deploy的“部署用户”运行模式时。该模式会在目标设备上临时创建用于安装软件和更新的凭证。虽然在安装完成后，这些凭证会从设备中删除，但根据 CERT/CC的说法，利用如 Mimikatz 之类的信息盗取工具，攻击者可以在删除步骤执行前从活动内存中恢复这些凭证。

“如果使用域用户，这些由部署用户域账户创建的凭证是静态的，能够被用来破坏任何其他通过 Active Directory
共享此用户的已注册设备，允许进行横向移动。” — CERT/CC 漏洞通告 VU #164934

CERT/CC还指出，“本地系统”运行模式同样易受该漏洞影响——尽管该模式使用的是具有较低权限的本地系统账户来安装软件，但它仍然使用“部署用户”账户来连接到设备并初始化本地系统账户，从而导致该机器的凭证被盗风险。

风险应对建议

PDQ Deploy 于 2024 年 7 月被通知该问题，回应中提到风险源于 Microsoft Windows中长久以来存在且被广泛理解的漏洞，导致活动内存中的凭证能够被提取。

PDQ Deploy 建议用户采取以下措施来缓解此风险：

• 使用 Windows 本地管理员密码解决方案（LAPS）为每个端点创建特定凭证。
• 在选择凭证时遵循最小权限原则，确保在目标机器上创建的凭证仅授予执行所需命令所需的权限。

“除非您在自动化域控制器上的操作，否则不应使用域管理员凭证。如果必须使用此类凭证，请仅将其用于这一目的，并为所有其他部署、扫描和端点使用
。” — PDQ Deploy

CERT/CC 也推荐使用 Windows LAPS作为解决方案，并指出“已登录用户”部署模式是一种更安全的选项，因为它使用当前登录用户的活动凭证来创建必要的服务以部署软件和更新。然而，这一替代方案仅在
PDQ Deploy 企业版中可用，并且需要用户的操作以完成安装。

过去的攻击事件

PDQ Deploy 过去曾遭受威胁者的攻击：2024 年 4 月，一名攻击者成功入侵了一家公司，并试图利用 PDQ Deploy 向其他机器传播
Medusa 勒索软件，。InfoGuard 调查主管
Stephan Berger ，在
2022 年，PDQ Deploy 被用于在目标机器上运行勒索软件。

通过关注和采取适当的措施，用户可以有效地应对 PDQ Deploy 中的安全风险。