# T1212 - Exploitation for Credential Access
## Descrição
A técnica **T1212 - Exploitation for Credential Access** descreve o comportamento de adversários que exploram vulnerabilidades de software com o objetivo específico de coletar credenciais ou contornar mecanismos de autenticação. Diferentemente da exploração genérica para execução de código ([[t1203-exploitation-for-client-execution|T1203]]) ou escalonamento de privilégios ([[t1068-exploitation-for-privilege-escalation|T1068]]), esta técnica foca nos mecanismos de autenticação e credenciamento como alvo primário.
A exploração pode ocorrer em múltiplos contextos: sistemas operacionais Windows, Linux e macOS, provedores de identidade (IdP) como Active Directory, Azure AD, Okta, e também em infraestruturas de nuvem pública. O adversário aproveita erros de programação em serviços, protocolos de autenticação ou no próprio kernel do sistema para executar código arbitrário e obter acesso a credenciais que normalmente estariam protegidas.
Um exemplo histórico e amplamente explorado é a vulnerabilidade **MS14-068**, que afeta o protocolo [[kerberos|Kerberos]] e permite que um usuário de domínio com permissões comuns forje tickets Kerberos com privilégios elevados - efetivamente impersonando qualquer usuário, incluindo administradores de domínio. Outra modalidade conhecida são os **ataques de replay**, onde o adversário intercepta pacotes de autenticação transmitidos na rede e os reenvia posteriormente para obter acesso indevido.
Em ambientes de nuvem, a técnica tem sido observada em cenários onde adversários exploraram falhas em APIs de provedores de infraestrutura (IaaS) que permitiam a criação ou renovação não intencional de tokens de autenticação temporários. O grupo [[g1048-unc3886|UNC3886]], por exemplo, foi associado a explorações sofisticadas em hipervisores VMware ESXi que resultaram na coleta de credenciais armazenadas em memória.
A técnica T1212 frequentemente culmina também em [[t1068-exploitation-for-privilege-escalation|Privilege Escalation]] dependendo das credenciais obtidas e do contexto de execução.
## Como Funciona
O mecanismo de exploração para acesso a credenciais pode se manifestar de diversas formas técnicas:
**1. Exploração de Protocolos de Autenticação (ex: MS14-068 / Kerberos)**
O protocolo Kerberos, amplamente usado em ambientes Active Directory, utiliza um processo de concessão de tickets (TGT - Ticket Granting Ticket). A vulnerabilidade MS14-068 permitia que um atacante modificasse campos no TGT e incluísse uma assinatura inválida que o KDC (Key Distribution Center) aceitava sem válidar corretamente. O resultado era um ticket com privilégios de Domain Admin forjado a partir de uma conta comum.
**2. Ataques de Replay de Autenticação**
Serviços que não implementam nonces, timestamps ou verificações de freshness adequadas são vulneráveis a ataques onde o adversário captura pacotes de autenticação legítimos via [[t1040-network-sniffing|Network Sniffing]] e os retransmite para obter acesso. Esse vetor é particularmente efetivo em implementações legadas de NTLM e em alguns protocolos proprietários.
**3. Exploração de APIs de Nuvem**
Em ambientes IaaS (AWS, Azure, GCP), adversários identificaram vulnerabilidades em endpoints de metadados de instância, mecanismos de assumição de roles e APIs de federação de identidade que permitiam criar tokens com permissões não autorizadas. A API `AssumeRoleWithWebIdentity` da AWS, por exemplo, foi explorada em configurações incorretas para obter tokens de curta duração com acesso elevado.
**4. Exploração de Memory Credential Stores**
Em sistemas onde credenciais são armazenadas em memória (como lsass.exe no Windows), vulnerabilidades no próprio processo ou em drivers do sistema podem ser exploradas para extrair hashes sem acionar ferramentas de dumping tradicionais como Mimikatz (que são detectadas com mais facilidade).
**5. Exploitation em Identity Providers**
Vulnerabilidades em soluções como Okta, CyberArk, Active Directory Federation Services (ADFS) e similares permitem que adversários gerem tokens de sessão, SAMLResponse forjados ou cookies de autenticação que ignoram completamente o fluxo de autenticação multifator.
## Attack Flow
```mermaid
graph TB
A["Reconhecimento<br/>(identificar versão do serviço/protocolo)"] --> B["Identificação da Vulnerabilidade<br/>(ex: MS14-068, CVE em IdP)"]
B --> C["Desenvolvimento ou Obtenção<br/>de Exploit PoC"]
C --> D["Execução do Exploit<br/>contra alvo"]
D --> E{"Tipo de<br/>resultado?"}
E -->|"Credencial em texto claro"| F["Uso direto<br/>(login, lateral movement)"]
E -->|"Hash NTLM / Ticket Kerberos"| G["Pass-the-Hash /<br/>Pass-the-Ticket"]
E -->|"Token de nuvem"| H["Acesso a recursos IaaS/SaaS<br/>com token temporário"]
F --> I["Uso de Contas Válidas"]
G --> I
H --> I
I --> J["Estabelecimento de<br/>Persistência ou Movimentação Lateral"]
```
## Exemplos de Uso
### MS14-068 - Kerberos Privilege Escalation (2014)
A vulnerabilidade CVE-2014-6324 afetava o KDC (Key Distribution Center) do Windows Server e permitia que qualquer usuário autenticado do domínio gerasse um TGT (Ticket Granting Ticket) com privilégios de Domain Admin. A exploração foi trivializada pela ferramenta `PyKEK` (Python Kerberos Exploitation Kit). Embora antiga, ambientes legados sem patch ainda são vulneráveis, e a técnica continua sendo relevante para compreender ataques Kerberos modernos como [[golden-ticket|Golden Ticket]] ([[t1558-003-golden-ticket|T1558.003]]).
### UNC3886 - Exploração em VMware ESXi
O grupo de espionagem chinês [[g1048-unc3886|UNC3886]] explorou vulnerabilidades em hipervisores VMware ESXi para instalar backdoors e extrair credenciais armazenadas em máquinas virtuais. A exploração ocorreu no nível do hipervisor, contornando EDRs e ferramentas de segurança instaladas nas VMs convidadas. As credenciais obtidas foram usadas para movimentação lateral em redes de telecomúnicações e defesa.
### Exploração de ADFS/SAML para Geração de Tokens Falsos
Em ataques sofisticados contra infraestrutura de identidade, adversários com acesso ao certificado de assinatura ADFS (token signing certificaté) conseguem gerar SAMLResponse válidos para qualquer usuário sem passar pelo processo de autenticação. Isso está relacionado à sub-técnica [[t1606-002-saml-tokens|T1606.002 - SAML Tokens]].
### CVE em Okta e Provedores de Identidade SaaS
Múltiplas vulnerabilidades em provedores de identidade como Okta foram exploradas em 2022-2023, permitindo que adversários gerassem sessões autenticadas para clientes da plataforma. Esses ataques afetaram centenas de organizações que dependiam do Okta como broker de identidade central.
## Detecção
A detecção de exploração para acesso a credenciais exige monitoramento em múltiplas camadas:
**Indicadores baseados em host:**
- Crashes inesperados em processos de autenticação (lsass.exe, winlogon.exe)
- Geração de tickets Kerberos com flags incomuns (PAC manipulation)
- Criação de tokens com privilégios incomuns em logs de auditoria
- Anomalias em logs de autenticação de Identity Providers
**Indicadores de rede:**
- Tráfego Kerberos com tickets malformados ou com campos PAC inconsistentes
- Autenticações originadas de IPs não usuais para uma conta
- Tentativas de replay de tokens de autenticação (mesmo token usado de IPs distintos em curto intervalo)
**Regra de detecção (Sigma):**
```yaml
title: Kerberos Ticket with Suspicious PAC or Privilege Escalation
status: experimental
logsource:
product: windows
service: security
detection:
selection_kerberos_anomaly:
EventID:
- 4769
- 4768
TicketEncryptionType: '0x17'
FailureCode: '0x0'
selection_privilege_flag:
EventID: 4672
SubjectUserName|endswith: '