Uma vulnerabilidade crítica no PDQ Deploy, ferramenta de implantação de software amplamente utilizada por administradores de sistemas, foi destacada em um recente comunicado do CERT Coordination Center (CERT/CC). O problema envolve o manuseio inseguro de credenciais de administradores durante os processos de implantação, expondo organizações a ataques de movimentação lateral e comprometimentos em larga escala da rede.

O PDQ Deploy utiliza diferentes “modos de execução” para instalar software em dispositivos de uma rede. No modo “Deploy User”, credenciais temporárias são criadas nos dispositivos durante o processo de implantação e, teoricamente, deletadas após a conclusão. No entanto, o CERT/CC alerta que atacantes com acesso ao dispositivo podem capturar essas credenciais antes de sua exclusão usando ferramentas de extração de senhas, como o Mimikatz. Essas credenciais comprometidas podem fornecer acesso administrativo ao dispositivo alvo. O risco é ampliado em ambientes onde as credenciais são compartilhadas via Active Directory, possibilitando que os invasores utilizem essas informações para movimentação lateral e comprometam outros sistemas na rede.

O processo de implantação inclui várias etapas, desde a conexão com o dispositivo alvo até a remoção do serviço após a instalação do software. Durante esse intervalo, atacantes podem capturar as credenciais usando ferramentas especializadas. O problema é especialmente grave em implantações que utilizam contas de domínio, onde as credenciais são estáticas e replicadas em múltiplos dispositivos. A aplicação de boas práticas de segurança pode ajudar as organizações a minimizar os riscos associados à exploração dessa vulnerabilidade e proteger suas infraestruturas contra ataques avançados.