Mimikatz a été utilisé par un chercheur de vulnérabilités pour vider les informations d'identification Microsoft Azure en texte brut non chiffré d'un utilisateur à partir du nouveau service Windows 365 Cloud PC de Microsoft. Benjamin Delpy a conçu Mimikatz, un logiciel de cybersécurité open source qui permet aux chercheurs de tester diverses vulnérabilités en matière de vol d'identifiants et d'usurpation d'identité.
Le service de bureau basé sur le cloud Windows 365 de Microsoft a été mis en service le 2 août, permettant aux clients de louer des PC cloud et d'y accéder via des clients de bureau à distance ou un navigateur. Microsoft a proposé des essais gratuits de PC virtuels, qui se sont rapidement vendus alors que les consommateurs se sont dépêchés de recevoir leur Cloud PC gratuit de deux mois.
Microsoft a annoncé sa nouvelle expérience de bureau virtuel basé sur le cloud Windows 365 lors de la conférence Inspire 2021, qui permet aux organisations de déployer des PC Windows 10 Cloud, ainsi que Windows 11 éventuellement, sur le cloud. Ce service est basé sur Azure Virtual Desktop, mais il a été modifié pour faciliter la gestion et l'accès à un Cloud PC.
Delpy a déclaré qu'il était l'un des rares chanceux à pouvoir bénéficier d'un essai gratuit du nouveau service et a commencé à tester sa sécurité. Il a découvert que le tout nouveau service permet à un programme malveillant de vider les adresses e-mail et les mots de passe en texte brut Microsoft Azure des clients connectés. Les vidages d'informations d'identification sont effectués à l'aide d'une vulnérabilité qu'il a identifiée en mai 2021 qui lui permet de vider les informations d'identification en texte brut pour les utilisateurs de Terminal Server. Alors que les informations d'identification Terminal Server d'un utilisateur sont chiffrées lorsqu'elles sont conservées en mémoire, Delpy prétend qu'il pourrait les déchiffrer à l'aide du processus Terminal Service.
Pour tester cette technique, BleepingComputer a utilisé un essai gratuit de Cloud PC sur Windows 365. Ils ont saisi la commande « ts::logonpasswords » après s'être connectés via le navigateur Web et ont démarré mimikatz avec des privilèges administratifs, et mimikatz a rapidement vidé leurs identifiants de connexion en clair.
Alors que mimikatz a été conçu pour les chercheurs, les acteurs de la menace l'utilisent fréquemment pour extraire des mots de passe en clair de la mémoire du processus LSASS ou effectuer des attaques pass-the-hash en utilisant des hachages NTLM en raison de la puissance de ses différents modules. Les acteurs malveillants peuvent utiliser cette technique pour se propager latéralement sur un réseau jusqu'à ce qu'ils prennent le contrôle d'un contrôleur de domaine Windows, ce qui leur permet de prendre le contrôle de l'ensemble du domaine Windows.
Pour se protéger contre cette méthode, Delpy recommande 2FA, les cartes à puce, Windows Hello et Windows Defender Remote Credential Guard. Ces mesures de sécurité, cependant, ne sont pas encore accessibles dans Windows 365. Parce que Windows 365 est orienté vers les entreprises, Microsoft est susceptible d'inclure ces protections de sécurité à l'avenir, mais pour le moment, il est crucial de connaître la technique.
Source : https://www.ehackingnews.com/2021/08/microsoft-azure-credentials-exposed-in.html
- 11
- 2021
- accès
- Permettre
- annoncé
- Attaques
- Août
- Azure
- BP
- navigateur
- prétentions
- CLIENTS
- le cloud
- Congrès
- Les consommateurs
- contrôleur
- Lettres de créance
- Clients
- Cybersécurité
- logiciel de cybersécurité
- Décrypter
- découvert
- Découvrez
- Test d'anglais
- avenir
- HTTPS
- IT
- Microsoft
- réseau et
- mots de passe
- PC
- PC
- Plaintext
- power
- protéger
- Location
- sécurité
- smart
- Logiciels
- vendu
- propagation
- j'ai commencé
- tester
- Essais
- El futuro
- acteurs de la menace
- fiable
- top
- procès
- utilisateurs
- Salle de conférence virtuelle
- vulnérabilités
- vulnérabilité
- web
- navigateur web
- WHO
- fenêtres
Plus de Nouvelles sur le piratage électronique
Le groupe Conti a exploité des serveurs Microsoft Exchange vulnérables
Nœud source: 1018436
Horodatage: 12 août 2021
Les hôtes XAMPP sont employés pour distribuer l'agent Tesla
Nœud source: 1859101
Horodatage: Le 30 juillet 2021
Le logiciel malveillant Android 'FlyTrap' pirate les comptes Facebook
Nœud source: 1022282
Horodatage: 11 août 2021
Les nouveaux utilisateurs de Mac Malware Trick en se faisant passer pour un outil macOS légitime
Nœud source: 1875799
Horodatage: Le 23 septembre 2021
La Russie a demandé des explications aux États-Unis sur les cyberattaques lors des élections à la Douma d'État
Nœud source: 1875788
Horodatage: Le 23 septembre 2021
Plus de 200,000 XNUMX données d'étudiants divulguées lors d'une cyberattaque
Nœud source: 1857005
Horodatage: Le 29 juin 2021
6.6 millions de dollars levés par Bit Discovery Sell Attack Outil de gestion de surface
Nœud source: 1857004
Horodatage: Le 29 juin 2021
Les responsables de la ville de Grass Valley négocient avec les responsables de l'attaque par ransomware
Nœud source: 998196
Horodatage: 2 août 2021
pNetwork a subi une perte en Bitcoins d'une valeur de 12 millions de dollars
Nœud source: 1875548
Horodatage: Le 22 septembre 2021
REvil frappe le géant brésilien de la santé Grupo Fleury
Nœud source: 1856955
Horodatage: Le 28 juin 2021
Apple corrige la vulnérabilité de macOS Zero Day, abusée par XCSSET macOS Malware
Nœud source: 874560
Horodatage: 26 mai 2021
Correction de la vulnérabilité de contournement de sécurité de Microsoft Edge
Nœud source: 1857006
Horodatage: Le 29 juin 2021