Informations d'identification Microsoft Azure exposées en clair par Windows 365

Mimikatz a été utilisé par un chercheur de vulnérabilités pour vider les informations d'identification Microsoft Azure en texte brut non chiffré d'un utilisateur à partir du nouveau service Windows 365 Cloud PC de Microsoft. Benjamin Delpy a conçu Mimikatz, un logiciel de cybersécurité open source qui permet aux chercheurs de tester diverses vulnérabilités en matière de vol d'identifiants et d'usurpation d'identité.

Le service de bureau basé sur le cloud Windows 365 de Microsoft a été mis en service le 2 août, permettant aux clients de louer des PC cloud et d'y accéder via des clients de bureau à distance ou un navigateur. Microsoft a proposé des essais gratuits de PC virtuels, qui se sont rapidement vendus alors que les consommateurs se sont dépêchés de recevoir leur Cloud PC gratuit de deux mois. 

Microsoft a annoncé sa nouvelle expérience de bureau virtuel basé sur le cloud Windows 365 lors de la conférence Inspire 2021, qui permet aux organisations de déployer des PC Windows 10 Cloud, ainsi que Windows 11 éventuellement, sur le cloud. Ce service est basé sur Azure Virtual Desktop, mais il a été modifié pour faciliter la gestion et l'accès à un Cloud PC. 

Delpy a déclaré qu'il était l'un des rares chanceux à pouvoir bénéficier d'un essai gratuit du nouveau service et a commencé à tester sa sécurité. Il a découvert que le tout nouveau service permet à un programme malveillant de vider les adresses e-mail et les mots de passe en texte brut Microsoft Azure des clients connectés. Les vidages d'informations d'identification sont effectués à l'aide d'une vulnérabilité qu'il a identifiée en mai 2021 qui lui permet de vider les informations d'identification en texte brut pour les utilisateurs de Terminal Server. Alors que les informations d'identification Terminal Server d'un utilisateur sont chiffrées lorsqu'elles sont conservées en mémoire, Delpy prétend qu'il pourrait les déchiffrer à l'aide du processus Terminal Service. 

Pour tester cette technique, BleepingComputer a utilisé un essai gratuit de Cloud PC sur Windows 365. Ils ont saisi la commande « ts::logonpasswords » après s'être connectés via le navigateur Web et ont démarré mimikatz avec des privilèges administratifs, et mimikatz a rapidement vidé leurs identifiants de connexion en clair. 

Alors que mimikatz a été conçu pour les chercheurs, les acteurs de la menace l'utilisent fréquemment pour extraire des mots de passe en clair de la mémoire du processus LSASS ou effectuer des attaques pass-the-hash en utilisant des hachages NTLM en raison de la puissance de ses différents modules. Les acteurs malveillants peuvent utiliser cette technique pour se propager latéralement sur un réseau jusqu'à ce qu'ils prennent le contrôle d'un contrôleur de domaine Windows, ce qui leur permet de prendre le contrôle de l'ensemble du domaine Windows.

Pour se protéger contre cette méthode, Delpy recommande 2FA, les cartes à puce, Windows Hello et Windows Defender Remote Credential Guard. Ces mesures de sécurité, cependant, ne sont pas encore accessibles dans Windows 365. Parce que Windows 365 est orienté vers les entreprises, Microsoft est susceptible d'inclure ces protections de sécurité à l'avenir, mais pour le moment, il est crucial de connaître la technique.