Microsoft Azure-Anmeldeinformationen im Klartext von Windows 365 verfügbar gemacht

Mimikatz wurde von einem Schwachstellenforscher verwendet, um die unverschlüsselten Microsoft Azure-Anmeldeinformationen eines Benutzers im Klartext aus dem neuen Windows 365 Cloud-PC-Dienst von Microsoft zu speichern. Benjamin Delpy hat Mimikatz entwickelt, eine Open-Source-Cybersicherheitssoftware, die es Forschern ermöglicht, verschiedene Schwachstellen im Bereich des Diebstahls von Anmeldeinformationen und des Identitätswechsels zu testen.

Der Cloud-basierte Desktop-Dienst Windows 365 von Microsoft ging am 2. August live, sodass Kunden Cloud-PCs mieten und über Remote-Desktop-Clients oder einen Browser darauf zugreifen können. Microsoft bot kostenlose virtuelle PC-Testversionen an, die schnell ausverkauft waren, da sich die Verbraucher beeilten, ihren zweimonatigen kostenlosen Cloud-PC zu erhalten. 

Microsoft kündigte auf der Inspire 365-Konferenz sein neues Cloud-basiertes virtuelles Desktop-Erlebnis für Windows 2021 an, das es Unternehmen ermöglicht, Windows 10-Cloud-PCs sowie schließlich Windows 11 in der Cloud bereitzustellen. Dieser Dienst baut auf Azure Virtual Desktop auf, wurde jedoch geändert, um die Verwaltung und den Zugriff auf einen Cloud-PC zu vereinfachen. 

Delpy sagte, dass er einer der wenigen Glücklichen war, die eine kostenlose Testversion des neuen Dienstes erhalten konnten, und begann, seine Sicherheit zu testen. Er entdeckte, dass der brandneue Dienst es einem bösartigen Programm ermöglicht, die Klartext-E-Mail-Adressen und -Passwörter von eingeloggten Microsoft Azure-Kunden abzuspeichern. Die Credential-Dumps werden mithilfe einer von ihm im Mai 2021 identifizierten Schwachstelle durchgeführt, die es ihm ermöglicht, Klartext-Credentials für Terminalserver-Benutzer zu speichern. Während die Terminalserver-Anmeldeinformationen eines Benutzers verschlüsselt im Speicher aufbewahrt werden, behauptet Delpy, er könne sie mit dem Terminaldienstprozess entschlüsseln. 

Um diese Technik zu testen, verwendete BleepingComputer eine kostenlose Cloud-PC-Testversion unter Windows 365. Sie gaben nach der Verbindung über den Webbrowser den Befehl „ts::logonpasswords“ ein und starteten mimikatz mit Administratorrechten, und mimikatz gab umgehend ihre Anmeldeinformationen im Klartext aus. 

Während mimikatz für Forscher entwickelt wurde, verwenden es Bedrohungsakteure aufgrund der Leistungsfähigkeit der verschiedenen Module häufig, um Klartext-Passwörter aus dem Speicher des LSASS-Prozesses zu extrahieren oder Pass-the-Hash-Angriffe mit NTLM-Hashes durchzuführen. Bedrohungsakteure können diese Technik verwenden, um sich seitlich über ein Netzwerk auszubreiten, bis sie die Kontrolle über einen Windows-Domänencontroller erlangen, wodurch sie die Kontrolle über die gesamte Windows-Domäne übernehmen können.

Zum Schutz vor dieser Methode empfiehlt Delpy 2FA, Smartcards, Windows Hello und Windows Defender Remote Credential Guard. Diese Sicherheitsmaßnahmen sind jedoch in Windows 365 noch nicht verfügbar. Da Windows 365 auf Unternehmen ausgerichtet ist, wird Microsoft diese Sicherheitsmaßnahmen wahrscheinlich in Zukunft einbeziehen, aber vorerst ist es wichtig, sich der Technik bewusst zu sein.