Comprendere l’estrazione delle password in testo semplice: come funziona e come fermarla

Glossario di cybersecurity Catalogo degli attacchi

Comprendere l'estrazione delle password in testo semplice

L'estrazione di password in testo semplice è il recupero di credenziali in forma leggibile da sistemi configurati in modo errato, memoria o archiviazione insicura. Un vettore chiave sono le Group Policy Preferences, dove i file XML in SYSVOL storicamente memorizzavano password crittografate decifrabili con una chiave AES nota pubblicamente. Strumenti come Get-GPPPassword di PowerSploit automatizzano l'estrazione. Gli aggressori utilizzano le credenziali recuperate per movimenti laterali e escalation dei privilegi. La difesa richiede la rimozione delle password GPP, il dispiegamento di LAPS, l'applicazione di MFA e l'audit di SYSVOL per artefatti residui di credenziali.

Attribute	Details
Attack type	Plaintext password extraction
Impact level	High / Critical (domain compromise possible)
Target	Active Directory environments (via Group Policy Preferences)
Primary attack vector	Insecure credential storage in Group Policy XML files (SYSVOL), LSASS dumping
Motivation	Credential theft, lateral movement, persistence, privilege escalation
Common prevention methods	Remove embedded GPP passwords, use Microsoft LAPS, patch Windows Server, apply PAM, enforce MFA

Risk factor	Level
Potential damage	Critical
Ease of execution	Medium–High
Likelihood	High

Risk factor

Level

Potential damage

Critical

Ease of execution

Medium–High

Likelihood

High

I file GPP legacy potrebbero esporre silenziosamente le credenziali nel tuo ambiente?

Parla con i nostri esperti per rimuovere le password in chiaro da SYSVOL, rafforzare le configurazioni AD e rilevare il furto di credenziali prima che peggiori.

Che cos'è l'estrazione di password in testo semplice?

L’estrazione di password in testo semplice è il processo mediante il quale un attaccante ottiene le credenziali di un account nella loro forma originale e leggibile, cioè il testo effettivo di nome utente/password anziché un hash o un token. A differenza delle tecniche di raccolta delle credenziali che catturano blob crittografati o token monouso, l’estrazione in testo semplice fornisce password dirette che non richiedono cracking; quindi offrono accesso immediato. Questo riduce il tempo tra compromissione e impatto poiché le password in testo semplice possono essere rapidamente utilizzate per:

Autenticati come proprietario dell'account e accedi ai servizi e ai sistemi.
Ignora l'autenticazione a singolo fattore e molti controlli legacy.
Passare da un host inizialmente compromesso a sistemi più sensibili.
Raccogli credenziali aggiuntive da caselle di posta, file di configurazione e archivi di backup una volta effettuato l'accesso.
Utilizza credenziali raccolte (come amministratori locali e account di servizio con privilegi elevati) per ottenere un maggiore controllo su host, servizi e risorse di dominio.

Fonti comuni di credenziali in testo semplice

Le password in chiaro si trovano dove i sistemi e gli amministratori le memorizzano per comodità o dove il software le perde involontariamente. Le fonti includono:

Memoria LSASS: Alcuni servizi e applicazioni di Windows caricano le credenziali nella memoria del processo LSASS durante l'esecuzione, dove i segreti in testo semplice possono rimanere leggibili nella RAM.
Registro: Le applicazioni e gli installatori a volte scrivono le credenziali nelle chiavi del registro di Windows.
File di configurazione dell'applicazione: I file di configurazione (ad esempio, appsettings.json, config.xml, .env) spesso contengono chiavi API codificate, password del database e credenziali di servizio in testo semplice affinché i servizi possano avviarsi automaticamente.
Database delle applicazioni: Le database a volte memorizzano stringhe di connessione e credenziali di servizio in testo semplice all'interno delle tabelle di configurazione, specialmente nelle applicazioni legacy e personalizzate.
Pipeline CI/CD: Le pipeline di build e deployment possono esporre credenziali tramite variabili hard-coded, log delle pipeline e repository di artefatti non sicuri quando i segreti non sono gestiti correttamente.
Archivi del browser: Le password salvate nei browser o in gestori di password debolmente protetti possono essere estratte se un sistema viene compromesso.
Segreti cloud e chiavi API: I servizi cloud e gli ambienti di sviluppo a volte perdono credenziali memorizzate in testo semplice all’interno di variabili di ambiente, template IaC e archivi di segreti non protetti.
File di testo non sicuri: Amministratori e altri utenti a volte conservano le password in note in chiaro, fogli di calcolo o file .txt su unità condivise o archiviazione cloud.
Backup e snapshot: I backup di sistemi che contenevano credenziali in chiaro diventano un’altra fonte se non sono adeguatamente crittografati.
Log: La registrazione configurata in modo errato può catturare nomi utente e password in testo semplice.

Il caso delle Preferenze Criteri di Gruppo

GPP è un esempio ampiamente citato nel mondo reale di credenziali esposte in testo semplice. GPP consentiva agli amministratori di impostare account locali, attività pianificate, mappature di unità e altre impostazioni centralmente tramite file XML archiviati nella condivisione SYSVOL. GPP supportava anche l'incorporamento di credenziali in quei file XML. Le password incorporate erano crittografate con una chiave AES statica pubblicata nella documentazione MSDN di Microsoft. Questa chiave è diventata ampiamente nota nel 2012, rendendo la decrittazione banale con strumenti come PowerSploit’s Get-GPPPassword. Ciò significava che:

Qualsiasi utente di dominio autenticato potrebbe leggere i file XML in SYSVOL.
La chiave di crittografia statica e documentata pubblicamente rendeva quelle password memorizzate recuperabili da chiunque.
Di conseguenza, molti ambienti avevano password di account locali ad alto privilegio esposte a qualsiasi utente del dominio, comportando un rischio di movimento laterale.

Nel 2014, Microsoft ha rilasciato il bollettino di sicurezza MS14-025 per impedire la creazione di nuove policy GPP con password incorporate, ma non rimuove quelle esistenti. Queste devono essere rimosse manualmente dagli amministratori. Di conseguenza, qualsiasi utente di dominio con accesso base può sfruttare questa vulnerabilità se rimangono vecchi file GPP.

Come funziona l'estrazione delle password in testo semplice?

L'estrazione delle password in testo semplice segue un ciclo di vita standard: ottenere un punto d'appoggio, scoprire dove risiedono i segreti, estrarre credenziali utilizzabili, riutilizzare tali credenziali per espandere l'accesso e quindi scalare a privilegi più elevati e controllo persistente. Il caso GPP è un chiaro esempio di come una funzionalità di comodità (memorizzare centralmente le credenziali distribuibili) possa creare una debolezza a livello aziendale che gli attaccanti possono sfruttare.

Accesso iniziale

Gli aggressori iniziano con una prima presa sulla rete attraverso vettori comuni come phishing, accesso a account compromessi, allegati dannosi e servizi pubblici vulnerabili.

Scoperta

Con l'accesso a un host nell'ambiente di destinazione, gli aggressori eseguono la scoperta per trovare dove sono memorizzate o fornite le credenziali. Negli ambienti Active Directory (AD), SYSVOL e altri archivi di configurazione replicati centralmente sono obiettivi attraenti perché contengono file XML e altri file utilizzati per distribuire impostazioni a molte macchine. I file XML di GPP storicamente contenevano credenziali incorporate destinate alla distribuzione automatizzata; quei file erano leggibili da qualsiasi utente autenticato in molte configurazioni predefinite, portando a esposizione.

Estrazione

L’estrazione si riferisce all’attività di recupero di segreti memorizzati in testo semplice o debolmente protetti da file di configurazione, registri, memoria e backup, trasformandoli in credenziali utilizzabili. Nell’esempio GPP, gli attaccanti potevano recuperare rapidamente le password effettive perché erano crittografate con una chiave statica che Microsoft aveva reso pubblica. A livello generale, l’estrazione può comportare la lettura di file, l’analisi di formati di configurazione (come file XML, JSON e INI) e l’analisi di artefatti di memoria dove un’applicazione ha lasciato segreti in testo semplice.

Gli aggressori utilizzano comunemente strumenti automatizzati per estrarre e decrittografare le password GPP:

Il cmdlet Get-GPPPassword di PowerSploit: uno strumento basato su PowerShell che cerca in SYSVOL file XML contenenti l'attributo cpassword e li decripta automaticamente utilizzando la chiave AES nota.
- Import-Module PowerSploit Get-GPPPassword
Modulo Metasploit (post/windows/gather/credentials/gpp): Esegue la stessa funzione all'interno del framework Metasploit, rendendo semplice per gli aggressori enumerare e decrittare tutte le password GPP memorizzate con un singolo comando.

Questi strumenti riducono l'intero attacco a un comando di una sola riga, evidenziando come un difetto di progettazione combinato con gli strumenti possa trasformare una vulnerabilità in un rischio diffuso.

Riutilizzare

Una volta che gli aggressori ottengono credenziali in chiaro (ad esempio, una password di amministratore locale o un segreto di account di servizio), tentano di riutilizzarle su host e servizi diversi. Il riutilizzo delle credenziali consente il movimento laterale, in cui l'aggressore si autentica su macchine aggiuntive, accede alle console amministrative e sblocca gli archivi di dati.

Escalation

Con l'accesso laterale, gli attaccanti mirano ad aumentare i loro privilegi. Ad esempio, passando da un amministratore locale a privilegi a livello di dominio o da un account app a un account di servizio che può accedere a dati sensibili. Gli attaccanti possono anche scaricare la memoria LSASS per raccogliere credenziali aggiuntive dai processi in esecuzione e dalle cache come parte dell'escalation dei privilegi e della persistenza.

Diagramma del flusso di attacco

Diamo un’occhiata a un flusso visivo di estrazione di password in testo semplice e a un esempio di storia dal punto di vista di un’organizzazione che mostra come l’attacco inizi con un account utente compromesso e si trasformi in una minaccia a livello di dominio.

Flusso di attacco (generale)

Flusso di attacco (prospettiva GPP)

Un attore minaccioso che compromette il laptop di un dipendente del help desk esegue Get-GPPPassword nel giro di pochi minuti dall'accesso. SYSVOL fornisce un file groups.xml del 2013, ancora attivo, contenente una password di amministratore locale condivisa su tutti i server dell'organizzazione. La mattina seguente, l'attaccante ha raggiunto il file server, ha avuto accesso all'infrastruttura di backup e ha stabilito una base su un controller di dominio.

Esempi di estrazione di password in testo semplice

L'estrazione di password in testo semplice è stata sfruttata in diverse violazioni. Questi casi reali mostrano come le credenziali non protette possano portare a compromissioni diffuse.

Case	Impact
BlackCat / ALPHV (2023)	In 2023, BlackCat/ALPHV operators were observed using a utility (Munchkin) that included a `Get-GPPPassword.py` script to enumerate SYSVOL, recover GPP XML files, and extract embedded passwords in plaintext. This shows how stored, weakly protected credentials can be harvested and used for lateral movement (even years after Microsoft patched the vulnerability in 2014).
Marriott international breach (2018)	Attackers maintained long-term persistence in Marriott's Starwood guest reservation system for approximately four years (2014-2018) before discovery. The breach, attributed to a sophisticated APT group, exposed personal and passport details of approximately 339 million guests. Investigations revealed that attackers used Mimikatz to harvest credentials from memory and gain administrator privileges. Weak password hygiene and the absence of MFA on critical accounts made it easier for the attackers to escalate privileges and remain undetected for years.
SolarWinds Orion supply chain attack (2020)	Although the initial breach vector was the insertion of malicious code into Orion software updates, forensic investigations revealed that the attackers also exploited plaintext credentials stored in scripts, configuration files, and automation systems within affected networks. These exposed credentials enabled lateral movement, privilege escalation, and further compromise of sensitive systems, affecting approximately 18,000 customers, including multiple US government agencies.

Conseguenze dell'estrazione di password in testo semplice

Quando gli aggressori riescono a estrarre con successo le password in chiaro, le conseguenze possono essere di vasta portata. Poiché le credenziali in chiaro rivelano le password esatte degli utenti, concedono accesso immediato e illimitato ad account e sistemi. Il danno impatta sulla stabilità finanziaria, sulle operazioni, sulla reputazione e sulla posizione legale.

Impact area	Description
Financial	Attackers can use stolen credentials to commit fraud, initiate unauthorized transactions, and even deploy ransomware within the network. Recovery costs, ransom payments, forensic investigations, and compensation for affected customers can lead to significant financial losses.
Operational	Plaintext credentials can enable lateral movement across servers and critical infrastructure, resulting in domain-wide disruptions, system lockouts, and halted business operations. Attackers can escalate privileges to gain control over core IT systems.
Reputational	Public disclosure of leaked passwords can erode customer and partner trust, especially when the breach exposes sensitive accounts and executive credentials. Organizations can face long-term brand damage and customer churn.
Legal/regulatory	Data exposure involving compromised accounts can violate privacy laws such as GDPR, HIPAA, and PCI DSS. Organizations may face regulatory fines, lawsuits, and increased scrutiny for failing to protect authentication data.

Obiettivi comuni di un'estrazione di password in testo semplice: chi è a rischio?

Gli attacchi di estrazione di password in testo semplice si concentrano su sistemi e account che memorizzano, elaborano o gestiscono dati di autenticazione in forma chiara o recuperabile. Sia le grandi imprese che le organizzazioni più piccole sono vulnerabili quando si trascura l'igiene di sicurezza di base. Alcuni bersagli comuni sono:

Ambienti Active Directory

Active Directory è un obiettivo principale perché gestisce l'autenticazione nelle reti aziendali. Gli aggressori possono estrarre credenziali in chiaro da più fonti (inclusi la memoria di sistema, archivi di credenziali memorizzate nella cache, file di configurazione e hive del registro) per compromettere più account all'interno del dominio.

Controller di dominio e server Windows

Questi sistemi memorizzano credenziali memorizzate nella cache e token di autenticazione. Se compromessi, possono esporre password in chiaro e hash che consentono agli aggressori di muoversi lateralmente nella rete.

Account privilegiati

Gli account amministrativi, gli account di servizio e gli account amministrativi di dominio sono obiettivi di alto valore. Una volta che gli aggressori ottengono password in chiaro, possono ottenere accesso illimitato a infrastrutture critiche e dati sensibili.

Sistemi e applicazioni mal configurati

Servizi poco sicuri, applicazioni legacy e sistemi con crittografia debole spesso memorizzano credenziali in chiaro all'interno di file di configurazione, database e file di log. Queste posizioni di archiviazione consentono agli aggressori di trovare ed estrarre facilmente le password senza attivare allarmi.

Piccole e medie imprese (PMI)

Le PMI sono vittime comuni perché hanno budget di sicurezza limitati e pratiche di gestione delle credenziali più deboli. Gli aggressori sfruttano sistemi obsoleti e vulnerabilità non patchate per raccogliere password in chiaro.

Valutazione del rischio

Valutando il livello di rischio dell'estrazione di password in chiaro, le organizzazioni possono comprenderne la gravità e gestire le difese di conseguenza.

Risk factor	Level
Potential damage	Critical Exposed plaintext passwords give attackers immediate, unrestricted access to systems, accounts, and data. This can lead to full domain compromise, ransomware deployment, and large-scale breaches.
Ease of execution	Medium-High The difficulty depends on system defenses. Tools like Mimikatz and LaZagne make plaintext password extraction relatively straightforward once attackers gain local or administrative access. However, reaching that point requires initial compromise, so it is not trivial.
Likelihood	High Many organizations still have systems that cache or store credentials insecurely (in memory, config files, and databases). Combined with privilege escalation and credential-dumping tactics in modern attacks, the likelihood remains high.

Risk factor

Level

Potential damage

Critical
Exposed plaintext passwords give attackers immediate, unrestricted access to systems, accounts, and data. This can lead to full domain compromise, ransomware deployment, and large-scale breaches.

Ease of execution

Medium-High
The difficulty depends on system defenses. Tools like Mimikatz and LaZagne make plaintext password extraction relatively straightforward once attackers gain local or administrative access. However, reaching that point requires initial compromise, so it is not trivial.

Likelihood

High
Many organizations still have systems that cache or store credentials insecurely (in memory, config files, and databases). Combined with privilege escalation and credential-dumping tactics in modern attacks, the likelihood remains high.

Come prevenire l’estrazione di password in testo semplice

Per prevenire l’estrazione di password in chiaro, le organizzazioni devono rimuovere le fonti facili di credenziali, rafforzare le configurazioni di account e host e mettere in atto controlli compensativi per limitare la capacità di un attaccante di riutilizzare eventuali credenziali trovate.

Rimuovere le password GPP incorporate da SYSVOL

Storicamente, Group Policy Preferences permetteva agli amministratori di distribuire le credenziali degli account locali, che venivano memorizzate in SYSVOL all'interno di file di policy XML come valori dell'attributo cpassword. Queste voci di cpassword sono facilmente reversibili, il che significa che chiunque abbia accesso al file XML può decifrare il valore e recuperare la password in chiaro. Per questo motivo, tutte le password memorizzate in GPP devono essere rimosse immediatamente.

Identifica eventuali file GPP XML in \\<domain>\SYSVOL\ contenenti cpassword.
Rimuovere o sostituire completamente il deployment degli account locali basato su GPP e migrare la gestione degli account a meccanismi più sicuri, come Local Administrator Password Solution (LAPS) di Microsoft.
Dopo la rimozione, documenta la modifica e verifica la replica su tutti i controller di dominio.

Suggerimento rapido per il rilevamento (PowerShell):

Get-ChildItem -Recurse '\\<domain>\SYSVOL' -Include *.xml |

Select-String -Pattern 'cpassword' -SimpleMatch

Usa LAPS di Microsoft per gestire l'account amministratore locale

LAPS gestisce centralmente password uniche e casuali per amministratori locali per ogni macchina e le memorizza in modo sicuro negli attributi di Active Directory con protezione ACL. Utilizzando LAPS, si elimina la necessità di memorizzare password condivise di amministratori locali in testo semplice. Le organizzazioni dovrebbero:

Distribuisci agenti/politiche LAPS in modo che ogni host abbia una password amministratore locale unica e ruotata.
Limita chi può leggere gli attributi delle password gestite da LAPS utilizzando AD ACLs e monitora l'accesso a tali attributi.
Integra LAPS nei processi di onboarding/offboarding e documentazione in modo che i dipendenti lo utilizzino invece delle credenziali codificate.

Mantieni Windows Server aggiornato e con tutte le patch

Mantieni tutti i controller di dominio, i server e gli endpoint aggiornati con le ultime patch di sicurezza. Applicare questi aggiornamenti aiuta a prevenire l'inserimento di nuove password in posizioni non sicure e a mitigare le vulnerabilità legacy che potrebbero esporre le credenziali.

Testa e applica regolarmente aggiornamenti di sicurezza e funzionalità.
Dai priorità alle patch che risolvono le vulnerabilità di autenticazione, Active Directory e gestione della memoria.
Mantieni un inventario delle versioni di OS supportate e dismetti i sistemi obsoleti che non ricevono più aggiornamenti di sicurezza.

Non memorizzare password in chiaro negli script e nelle configurazioni

Le credenziali in testo semplice memorizzate in script, file di configurazione e pipeline di automazione sono un bersaglio facile per gli aggressori. Rimuovile e sostituiscile con alternative sicure.

Utilizzare gestori di segreti (vault) o archivi di segreti nativi della piattaforma (ad esempio, Azure Key Vault, AWS Secrets Manager).
Quando il codice deve autenticarsi, utilizzare managed identities, service principals con token a breve durata o autenticazione basata su certificati invece di password incorporate.
Ruotare regolarmente i segreti e scansionare i repository di origine (inclusi i log CI/CD e gli archivi degli artefatti) per esposizioni accidentali.

Applicare soluzioni MFA e Privileged Access Management

L'autenticazione a più fattori (MFA) e Privileged Access Management (PAM) riducono l'impatto delle credenziali rubate e limitano le sessioni privilegiate.

Richiedi MFA per accessi interattivi, accesso remoto e attività amministrative sensibili.
Distribuisci Privileged Access Management/gestione degli accessi elevati per fornire un’elevazione just-in-time e limitata nel tempo per amministratori e terze parti.
Registra e monitora i fallimenti MFA, le richieste di elevazione e l'attività delle sessioni privilegiate.

Eseguire audit di dominio per i valori cpassword in SYSVOL

L'audit regolare può aiutare a trovare configurazioni errate, quindi rendilo parte dell'igiene standard della sicurezza.

Pianifica scansioni automatiche di SYSVOL e altri archivi comuni per cpassword e altri artefatti di credenziali.
Includi controlli per credenziali in testo semplice nei file di configurazione, script e database delle applicazioni.
Registra qualsiasi riscontro relativo alle credenziali nel tuo sistema di ticketing o di gestione delle patch, segui i riscontri risolti e mantieni una traccia di controllo di tutte le ricerche e correzioni. Questo aiuta a verificare che le vulnerabilità siano affrontate. Fornisce inoltre documentazione per future revisioni di sicurezza.

Come Netwrix può aiutare

Nel contesto del rischio di estrazione di password in testo semplice, le organizzazioni possono implementare soluzioni specializzate per ridurre l'esposizione, rilevare precocemente i tentativi di attacco e correggere le vulnerabilità nell'ambiente. Netwrix offre una suite di strumenti che si allineano a questi obiettivi.

Netwrix Privilege Secure

Privilege Secure rimuove gli account privilegiati permanenti e applica privilegi just-in-time, riducendo così la superficie di attacco derivante dalle credenziali amministrative statiche. Fornisce un monitoraggio e una registrazione completi delle sessioni e supporta l'accesso con privilegi minimi su server e endpoint.

Attraverso l'integrazione con LAPS e il supporto per il vaulting delle credenziali, Privilege Secure aiuta a sostituire le credenziali di amministratore locale condivise, che sono una fonte comune di rischio di password in chiaro. La soluzione automatizza inoltre la creazione/cancellazione degli account privilegiati per ogni sessione e applica MFA per rafforzare ulteriormente i controlli di accesso privilegiato.

Netwrix Threat Manager

Threat Manager è progettato per il rilevamento e la risposta in tempo reale a minacce basate su identità, privilegi e file system in ambienti come Active Directory e cloud ibrido. Monitora schemi di autenticazione anomali, abuso di credenziali e attività sospette, come tentativi di leggere SYSVOL e l’uso di Get-GPPPassword. Può anche attivare avvisi e risposte automatiche quando un attaccante tenta di sfruttare credenziali in chiaro o di muoversi lateralmente all’interno della rete.

Netwrix Access Analyzer

Con Access Analyzer, le organizzazioni possono ottenere visibilità su permessi, diritti di accesso, configurazioni errate legacy (come credenziali GPP residue) e accesso rischioso ai dati su asset on-premises e cloud. Questo aiuta a scoprire configurazioni errate rischiose di Active Directory e Group Policy Object (GPO), incluse le Group Policy Preferences legacy con password incorporate. Rilevando e dando priorità a questi problemi, Access Analyzer consente la risoluzione proattiva delle condizioni in cui possono esistere credenziali in testo semplice.

Elimina le credenziali permanenti che rendono possibile l'estrazione delle password in chiaro con Netwrix Privilege Secure. Scarica la prova gratuita.

Strategie di rilevamento, mitigazione e risposta

Per una protezione efficace contro l’estrazione di password in chiaro, le organizzazioni devono sviluppare una strategia che si concentri sulla rilevazione precoce, la mitigazione proattiva e la risposta rapida.

Rilevamento

La rilevazione precoce dipende dall'identificazione di modelli di autenticazione insoliti e comportamenti di accesso ai file che segnalano attività di raccolta delle credenziali. I team di sicurezza dovrebbero:

Monitora l'enumerazione delle condivisioni SYSVOL. Gli aggressori spesso sfogliano queste cartelle condivise per individuare file XML contenenti credenziali incorporate (cpassword voci) e dati di configurazione.
Rileva l'uso sospetto di comandi PowerShell come Get-GPPPassword. Tali comandi vengono utilizzati per estrarre le password memorizzate da Group Policy Preferences.
Indaga l'accesso insolito in lettura a più file XML di Group Policy e script di configurazione. Accessi ripetuti o su larga scala possono indicare script automatizzati o attività di ricognizione.
Indaga sull'uso di strumenti di dumping delle credenziali seguito da tentativi sospetti di autenticazione e escalation dei privilegi. Questa sequenza spesso rivela che gli attaccanti hanno ottenuto credenziali in chiaro o hashate e stanno tentando un movimento laterale.

Mitigazione

La mitigazione si concentra sulla rimozione dei punti di esposizione e sulla riduzione della capacità dell’attaccante di sfruttare le credenziali in chiaro.

Isola immediatamente gli account e gli host compromessi dalla rete per fermare ulteriori movimenti laterali.
Verifica SYSVOL e altre directory condivise per password incorporate e file GPP configurati in modo errato. Quindi reimposta tutte le credenziali scoperte in GPP e file di configurazione per prevenire il riutilizzo.
Revoca i meccanismi di persistenza dell’attaccante, come modifiche non autorizzate agli ACL di AdminSDHolder, attività pianificate e account di servizio che potrebbero consentire un accesso continuo.
Applichi patch regolarmente e limiti i privilegi amministrativi per ridurre l'esposizione e prevenire futuri attacchi.

Risposta

Quando le password in chiaro vengono esposte, la fase di risposta dovrebbe concentrarsi sull'eliminazione di tutte le fonti di perdita delle credenziali e sul rafforzamento dell'ambiente.

Rimuovere le credenziali incorporate in GPP nell'intero ambiente per eliminare le password legacy in testo semplice archiviate in Group Policy Preferences.
Distribuisci LAPS di Microsoft per gestire in modo sicuro gli account amministratore locali con password uniche e rotanti.
Rafforza le autorizzazioni di Active Directory per limitare l'accesso a GPO, criteri di sistema, gruppi amministrativi e oggetti di configurazione sensibili.
Abilita il rilevamento e la risposta endpoint (EDR) e il monitoraggio della gestione delle informazioni e degli eventi di sicurezza (SIEM) per rilevare attività di dumping delle credenziali e comportamenti di autenticazione anomali in tempo reale.
Formare gli amministratori per evitare di memorizzare le password in Group Policy Objects, script e file di configurazione, rafforzando pratiche operative sicure.

Impatto specifico del settore

L'impatto dell'estrazione di password in testo semplice varia tra i settori, a seconda del tipo di dati gestiti e dei sistemi interessati. Tuttavia, in ogni settore, le credenziali compromesse possono causare danni operativi, finanziari e reputazionali.

Industry	Impact
Healthcare	Attackers who obtain plaintext credentials can escalate privileges to compromise domain administrator accounts. This leads to unauthorized access to electronic health records (EHRs), medical devices, and internal systems. The result could be large-scale patient data exposure, service downtime, and costly regulatory penalties under HIPAA or similar privacy laws.
Finance	Stolen credentials can enable unauthorized access, empowering attackers to perform fraudulent wire transfers, alter financial records, and manipulate payment systems. Credential exposure can also lead to ransomware attacks or insider-style fraud, triggering service disruptions, compliance violations, reputational harm, and significant monetary losses.
Government	Compromised accounts within government networks can grant persistent access for espionage, data theft, and disruption of essential public services. Attackers can exploit privileged access to manipulate systems, steal classified data, and spread disinformation. This can undermine public trust and pose both operational and national security risks.

Industry

Impact

Healthcare

Attackers who obtain plaintext credentials can escalate privileges to compromise domain administrator accounts. This leads to unauthorized access to electronic health records (EHRs), medical devices, and internal systems. The result could be large-scale patient data exposure, service downtime, and costly regulatory penalties under HIPAA or similar privacy laws.

Finance

Stolen credentials can enable unauthorized access, empowering attackers to perform fraudulent wire transfers, alter financial records, and manipulate payment systems. Credential exposure can also lead to ransomware attacks or insider-style fraud, triggering service disruptions, compliance violations, reputational harm, and significant monetary losses.

Government

Compromised accounts within government networks can grant persistent access for espionage, data theft, and disruption of essential public services. Attackers can exploit privileged access to manipulate systems, steal classified data, and spread disinformation. This can undermine public trust and pose both operational and national security risks.

Evoluzione degli attacchi e tendenze future

Le tecniche di estrazione delle password in testo semplice si sono evolute in risposta a difese più forti e a un passaggio verso ambienti IT ibridi. Sebbene il principio base di rubare credenziali leggibili rimanga lo stesso, i metodi e gli obiettivi si stanno espandendo per sfruttare errori umani, configurazioni legacy e credenziali cloud mal gestite.

Le configurazioni errate legacy di GPP rimangono punti di ingresso facili

Molte organizzazioni hanno ancora Group Policy Preferences obsolete che memorizzano le credenziali in formati reversibili. Gli aggressori eseguono regolarmente la scansione di SYSVOL e delle directory condivise per questi file XML dopo l'accesso iniziale. Una volta ottenute, le credenziali concedono accesso amministrativo o a livello di servizio, consentendo movimenti laterali e persistenza. Questi errori esistono a causa della gestione manuale delle configurazioni, della visibilità limitata in grandi ambienti Active Directory e di pratiche insufficienti di hardening di AD.

Integrazione di moduli di estrazione in chiaro nei loader di malware e kit ransomware

Il furto di credenziali è diventato una caratteristica standard negli strumenti di attacco moderni. Famiglie di malware come Emotet, QakBot e TrickBot includono moduli che possono scaricare la memoria, rubare password del browser ed estrarre credenziali dai file di configurazione. I gruppi ransomware utilizzano queste credenziali rubate per ottenere accesso a livello di dominio prima della crittografia. Ciò consente loro di elevare i privilegi e disabilitare le difese in modo più efficiente.

Espansione negli ambienti cloud

Gli aggressori stanno sempre più prendendo di mira carichi di lavoro cloud mal configurati, chiavi API e account di servizio che memorizzano credenziali in chiaro o in posizioni non sicure. Il furto di credenziali cloud comporta rischi simili alle violazioni on-premise, spesso iniziando da template insicuri e variabili di ambiente esposte. Le credenziali rubate possono consentire agli aggressori di muoversi tra ambienti cloud e on-premise in un unico percorso di attacco.

Crescente uso di tecniche living-off-the-land (LotL)

Invece di affidarsi esclusivamente al malware, gli attori delle minacce ora sfruttano strumenti integrati come PowerShell, WMI e certutil per estrarre o accedere alle credenziali in modo furtivo. Questa tendenza consente agli aggressori di mimetizzarsi nell'attività normale, ridurre la loro impronta, evitare gli avvisi antivirus, bypassare il rilevamento degli endpoint e mantenere l'accesso per periodi più lunghi.

Statistiche chiave e infografiche

I seguenti dati possono aiutarti a comprendere l'ambito e la diffusione degli attacchi correlati alle credenziali.

Il 2025 Verizon Data Breach Investigations Report (DBIR) rivela che il 22% delle violazioni è iniziato con l'abuso di credenziali, rendendo le credenziali rubate o usate in modo improprio il punto di ingresso più comune nei sistemi.
Il rapporto ha anche rilevato che circa l'88% degli attacchi di base alle applicazioni web coinvolgevano credenziali rubate.
Lo script PowerShell Get‑GPPPassword è ampiamente utilizzato sia dai red team che dagli attori delle minacce. Strumenti e documentazione lo citano frequentemente come metodo standard per recuperare password in chiaro incorporate nei file XML di Group Policy Preferences (GPP) sotto la condivisione SYSVOL. Poiché molte organizzazioni hanno ancora vecchi file GPP e politiche mal configurate, questo strumento offre agli aggressori una via semplice per ottenere credenziali a livello locale e di dominio.

Vettori di attacco iniziali delle violazioni dei dati

Il seguente grafico a torta si basa sui dati del Verizon DBIR 2025. Mostra i vettori di attacco iniziali che hanno portato a una violazione dei dati.

Principali risultati:

Le credenziali rubate rimangono il principale vettore di attacco iniziale nel 22% di tutte le violazioni.
Lo sfruttamento delle vulnerabilità è aumentato del 34% su base annua, raggiungendo ora il 20% delle violazioni.
Il phishing rappresenta il 16% dei vettori iniziali di violazione.

Considerazioni finali

L’estrazione di password in testo semplice rimane uno dei modi più semplici con cui gli aggressori ottengono un punto d’appoggio in una rete. La buona notizia è che la maggior parte delle esposizioni è prevenibile. Le organizzazioni dovrebbero considerare l’identità come il perimetro principale. Proteggi gli account e fermerai la maggior parte delle catene di attacco comuni. Inizia con le vittorie rapide (audit SYSVOL, distribuisci LAPS, abilita MFA), quindi integra il rilevamento continuo e i controlli di accesso privilegiato nelle tue operazioni per stare al passo con le minacce.

Domande frequenti

Cos'è l'estrazione della password in testo semplice di Group Policy Preferences?

Come funziona Get-GPPPassword di PowerSploit?

Qual è l'ID della tecnica MITRE ATT&CK per l'estrazione di password in testo semplice da Group Policy Preferences?

Come possono le organizzazioni rilevare le password GPP nel loro ambiente?

Quale mitigazione consiglia Microsoft?

Condividi su

Published: Jun 19, 2026

Darryl Baker

Ricercatore Senior di Sicurezza

Darryl G. Baker è un Senior Staff Security Researcher presso Netwrix e un’autorità riconosciuta nella sicurezza di Identity e Active Directory. Con oltre un decennio di esperienza nei sistemi di identità, ha guidato valutazioni di sicurezza aziendale, formazione sulla sicurezza dell’identità e emulazioni di minacce focalizzate su Active Directory, Entra ID e ambienti Azure. Darryl ha tenuto corsi e dimostrazioni molto apprezzati a BlueTeamCon, BSidesCT, The Experts Conference e Wild Wild West Hackin’ Fest. È l’architetto di numerosi laboratori pratici di emulazione di attacchi, sfruttando gli strumenti attuali di red team e blue team per aiutare i difensori a padroneggiare tutto, dall’analisi dei percorsi di attacco alla caccia alle minacce. Nelle sue sessioni, Darryl unisce una profonda conoscenza tecnica a casi di studio reali, permettendo ai professionisti del blue team di rafforzare la loro postura di sicurezza dell’identità e difendersi dalle tecniche avversarie in evoluzione.

Visualizza attacchi informatici correlati

Abuso dei permessi dell'applicazione Entra ID – Come funziona e strategie di difesa

Modifica di AdminSDHolder – Come funziona e strategie di difesa

Attacco AS-REP Roasting - Come Funziona e Strategie di Difesa

Attacco Hafnium - Come funziona e strategie di difesa

Spiegazione degli attacchi DCSync: minaccia alla sicurezza di Active Directory

Spiegazione degli attacchi di sfruttamento gMSA e degli attacchi Golden gMSA

Guida definitiva agli attacchi Golden SAML

Comprendere gli attacchi Golden Ticket

Attacco DCShadow – Come Funziona, Esempi Reali e Strategie di Difesa

ChatGPT Prompt Injection: Comprensione dei rischi, esempi e prevenzione

Spiegazione degli attacchi di estrazione NTDS.dit

Attacco Kerberoasting – Come Funziona e Strategie di Difesa

Comprendere gli attacchi pass-the-hash (PtH)

Spiegazione dell'attacco Pass-the-Ticket: Rischi, Esempi e Strategie di Difesa

Comprendere gli attacchi di password spraying

Spiegazione della vulnerabilità Zerologon: Rischi, exploit e mitigazione

Una guida completa agli attacchi ransomware

Attacco Skeleton Key: come funziona e come rilevarlo

Movimento laterale: cos'è, come funziona e prevenzioni

Attacchi Man-in-the-Middle (MITM): cosa sono e come prevenirli

Perché PowerShell è così popolare tra gli aggressori?

4 attacchi agli account di servizio e come proteggersi

Come prevenire gli attacchi malware che impattano sulla tua azienda

Cos'è il Credential Stuffing?

Compromettere SQL Server con PowerUpSQL

Cosa sono gli attacchi di Mousejacking e come difendersi

Rubare credenziali con un Security Support Provider (SSP)

Attacchi con Rainbow Table: Come Funzionano e Come Difendersi

Uno sguardo approfondito agli attacchi alle password e come fermarli

Ricognizione LDAP

Bypassare MFA con l'attacco Pass-the-Cookie

Attacco Silver Ticket