피드로 돌아가기
All the passwords were stored in Active Directory description fields
The RegisterThe Register
Security

AD Description 필드 내 Plaintext 패스워드 저장으로 인한 2,000명 규모 서비스 중단

All the passwords were stored in Active Directory description fields

2026년 6월 4일2beginner

AI 요약

Context

서비스 계정 관리 체계 부재로 인해 Password Vault 대신 Active Directory(AD)의 Description 필드에 자격 증명을 저장한 구조적 결함 발생. 일반 사용자 권한만으로 AD 전체의 설명 필드 조회가 가능한 AD 기본 설계 특성을 간과한 보안 설정 오류.

Technical Solution

  • Phishing을 통한 Initial Access 확보 및 Sliver 툴을 활용한 Endpoint 제어권 획득
  • 획득한 일반 사용자 계정 권한을 이용한 AD Query 실행으로 Description 필드 내 Plaintext 패스워드 대량 추출
  • 추출한 자격 증명을 통한 Full Domain Access 권한 상승 및 관리자 권한 확보
  • 백업 데이터 완전 삭제 후 Hyper-V Hypervisors 및 Host 대상 Ransomware 실행을 통한 전체 시스템 암호화
  • 중앙 집중형 비밀번호 관리 체계 부재가 공격 표면(Attack Surface)을 극대화한 설계 실패 사례

실천 포인트

1. AD 및 설정 파일 내 Plaintext 자격 증명 저장 여부 전수 조사

2. HashiCorp Vault 등 전문 Password Vault 도입을 통한 Secret 관리 체계 구축

3. 최소 권한 원칙(Principle of Least Privilege)에 따른 AD 읽기 권한 제한 검토

4. 구성 파일 및 메타데이터 필드 대상의 정기적인 Secret Scanning 자동화 적용

태그

#Initial Access Broker#Active Directory#Password Vault#Attack Surface#Ransomware
원문 읽기