Mimikatz wurde von einem Schwachstellenforscher verwendet, um die unverschlüsselten Microsoft Azure-Anmeldeinformationen eines Benutzers im Klartext aus dem neuen Windows 365 Cloud-PC-Dienst von Microsoft zu speichern. Benjamin Delpy hat Mimikatz entwickelt, eine Open-Source-Cybersicherheitssoftware, die es Forschern ermöglicht, verschiedene Schwachstellen im Bereich des Diebstahls von Anmeldeinformationen und des Identitätswechsels zu testen.
Der Cloud-basierte Desktop-Dienst Windows 365 von Microsoft ging am 2. August live, sodass Kunden Cloud-PCs mieten und über Remote-Desktop-Clients oder einen Browser darauf zugreifen können. Microsoft bot kostenlose virtuelle PC-Testversionen an, die schnell ausverkauft waren, da sich die Verbraucher beeilten, ihren zweimonatigen kostenlosen Cloud-PC zu erhalten.
Microsoft kündigte auf der Inspire 365-Konferenz sein neues Cloud-basiertes virtuelles Desktop-Erlebnis für Windows 2021 an, das es Unternehmen ermöglicht, Windows 10-Cloud-PCs sowie schließlich Windows 11 in der Cloud bereitzustellen. Dieser Dienst baut auf Azure Virtual Desktop auf, wurde jedoch geändert, um die Verwaltung und den Zugriff auf einen Cloud-PC zu vereinfachen.
Delpy sagte, dass er einer der wenigen Glücklichen war, die eine kostenlose Testversion des neuen Dienstes erhalten konnten, und begann, seine Sicherheit zu testen. Er entdeckte, dass der brandneue Dienst es einem bösartigen Programm ermöglicht, die Klartext-E-Mail-Adressen und -Passwörter von eingeloggten Microsoft Azure-Kunden abzuspeichern. Die Credential-Dumps werden mithilfe einer von ihm im Mai 2021 identifizierten Schwachstelle durchgeführt, die es ihm ermöglicht, Klartext-Credentials für Terminalserver-Benutzer zu speichern. Während die Terminalserver-Anmeldeinformationen eines Benutzers verschlüsselt im Speicher aufbewahrt werden, behauptet Delpy, er könne sie mit dem Terminaldienstprozess entschlüsseln.
Um diese Technik zu testen, verwendete BleepingComputer eine kostenlose Cloud-PC-Testversion unter Windows 365. Sie gaben nach der Verbindung über den Webbrowser den Befehl „ts::logonpasswords“ ein und starteten mimikatz mit Administratorrechten, und mimikatz gab umgehend ihre Anmeldeinformationen im Klartext aus.
Während mimikatz für Forscher entwickelt wurde, verwenden es Bedrohungsakteure aufgrund der Leistungsfähigkeit der verschiedenen Module häufig, um Klartext-Passwörter aus dem Speicher des LSASS-Prozesses zu extrahieren oder Pass-the-Hash-Angriffe mit NTLM-Hashes durchzuführen. Bedrohungsakteure können diese Technik verwenden, um sich seitlich über ein Netzwerk auszubreiten, bis sie die Kontrolle über einen Windows-Domänencontroller erlangen, wodurch sie die Kontrolle über die gesamte Windows-Domäne übernehmen können.
Zum Schutz vor dieser Methode empfiehlt Delpy 2FA, Smartcards, Windows Hello und Windows Defender Remote Credential Guard. Diese Sicherheitsmaßnahmen sind jedoch in Windows 365 noch nicht verfügbar. Da Windows 365 auf Unternehmen ausgerichtet ist, wird Microsoft diese Sicherheitsmaßnahmen wahrscheinlich in Zukunft einbeziehen, aber vorerst ist es wichtig, sich der Technik bewusst zu sein.
Quelle: https://www.ehackingnews.com/2021/08/microsoft-azure-credentials-exposed-in.html
- 11
- 2021
- Zugang
- Zulassen
- angekündigt
- Anschläge
- AUGUST
- Azure
- BP
- Browser
- aus aller Welt
- Kunden
- Cloud
- Konferenz
- KUNDEN
- Controller
- Referenzen
- Kunden
- Internet-Sicherheit
- Cybersicherheitssoftware
- Entschlüsseln
- entdeckt
- ERFAHRUNGEN
- Frei
- Zukunft
- HTTPS
- IT
- Microsoft
- Netzwerk
- Passwörter
- PC
- PCs
- Klartext
- Werkzeuge
- Risiken zu minimieren
- Mieten
- Sicherheitdienst
- smart
- Software
- verkauft
- Verbreitung
- begonnen
- Test
- Testen
- Die Zukunft
- Bedrohungsakteure
- Zeit
- Top
- Versuch
- Nutzer
- Assistent
- Sicherheitslücken
- Verwundbarkeit
- Netz
- Web-Browser
- WHO
- Fenster
Mehr von E-Hacking-News
Conti Group hat anfällige Microsoft Exchange-Server ausgenutzt
Quellknoten: 1018436
Zeitstempel: 12. August 2021
XAMPP-Hosts werden für den Vertrieb des Agenten Tesla eingesetzt
Quellknoten: 1859101
Zeitstempel: 30. Juli 2021
Neue Mac-Malware täuscht Benutzer, indem sie sich als legitimes macOS-Tool ausgibt
Quellknoten: 1875799
Zeitstempel: 23. September 2021
Russland forderte von den USA eine Erklärung zu Cyberangriffen während der Wahlen zur Staatsduma
Quellknoten: 1875788
Zeitstempel: 23. September 2021
Daten von über 200,000 Studenten bei Cyberangriff verloren gegangen
Quellknoten: 1857005
Zeitstempel: 29. Juni 2021
6.6 Millionen US-Dollar durch den Verkauf des Attack Surface Management Tools von Bit Discovery gesammelt
Quellknoten: 1857004
Zeitstempel: 29. Juni 2021
Stadtbeamte von Grass Valley verhandeln mit den Bearbeitern des Ransomware-Angriffs
Quellknoten: 998196
Zeitstempel: 2. August 2021
pNetwork erlitt einen Verlust an Bitcoins im Wert von 12 Millionen US-Dollar
Quellknoten: 1875548
Zeitstempel: 22. September 2021
REvil trifft den brasilianischen Gesundheitsriesen Grupo Fleury
Quellknoten: 1856955
Zeitstempel: 28. Juni 2021
Apple behebt die Zero-Day-Sicherheitslücke in macOS, die von XCSSET-MacOS-Malware missbraucht wird
Quellknoten: 874560
Zeitstempel: 26. Mai 2021