Mimikatz è stato utilizzato da un ricercatore di vulnerabilità per scaricare le credenziali Microsoft Azure in testo non crittografato di un utente dal nuovo servizio Microsoft Windows 365 Cloud PC. Benjamin Delpy ha progettato Mimikatz, un software di sicurezza informatica open source che consente ai ricercatori di testare varie vulnerabilità di furto di credenziali e impersonificazione.
Il servizio desktop basato su cloud di Microsoft Windows 365 è stato attivato il 2 agosto, consentendo ai clienti di noleggiare PC cloud e accedervi tramite client desktop remoti o un browser. Microsoft ha offerto prove gratuite di PC virtuali, che sono andate rapidamente esaurite quando i consumatori si sono affrettati a ricevere il loro Cloud PC gratuito di due mesi.
Microsoft ha annunciato la sua nuova esperienza desktop virtuale basata su cloud Windows 365 alla conferenza Inspire 2021, che consente alle organizzazioni di distribuire i PC cloud Windows 10, nonché Windows 11, eventualmente, sul cloud. Questo servizio è basato su Azure Virtual Desktop, ma è stato modificato per rendere più semplice la gestione e l'accesso a un Cloud PC.
Delpy ha detto di essere stato uno dei pochi fortunati a poter ricevere una prova gratuita del nuovo servizio e ha iniziato a testarne la sicurezza. Ha scoperto che il nuovissimo servizio consente a un programma dannoso di scaricare gli indirizzi e-mail e le password in chiaro di Microsoft Azure dei clienti che hanno effettuato l'accesso. I dump delle credenziali vengono eseguiti utilizzando una vulnerabilità che ha identificato nel maggio 2021 che gli consente di scaricare credenziali in chiaro per gli utenti di Terminal Server. Mentre le credenziali di Terminal Server di un utente vengono crittografate quando conservate in memoria, Delpy afferma di poterle decrittografare utilizzando il processo di Servizi terminal.
Per testare questa tecnica, BleepingComputer ha utilizzato una versione di prova gratuita di Cloud PC su Windows 365. Hanno immesso il comando "ts::logonpasswords" dopo essersi connessi tramite il browser Web e hanno avviato mimikatz con privilegi amministrativi e mimikatz ha prontamente scaricato le proprie credenziali di accesso in chiaro.
Sebbene mimikatz sia stato progettato per i ricercatori, gli attori delle minacce lo utilizzano spesso per estrarre password in chiaro dalla memoria del processo LSASS o eseguire attacchi pass-the-hash utilizzando hash NTLM a causa della potenza dei suoi diversi moduli. Gli attori delle minacce possono utilizzare questa tecnica per diffondersi lateralmente in una rete fino a quando non ottengono il controllo di un controller di dominio Windows, consentendo loro di assumere il controllo dell'intero dominio Windows.
Per proteggersi da questo metodo, Delpy consiglia 2FA, smart card, Windows Hello e Windows Defender Remote Credential Guard. Queste misure di sicurezza, tuttavia, non sono ancora accessibili in Windows 365. Poiché Windows 365 è orientato alle aziende, è probabile che Microsoft includa queste protezioni di sicurezza in futuro, ma per il momento è fondamentale essere a conoscenza della tecnica.
Fonte: https://www.ehackingnews.com/2021/08/microsoft-azure-credentials-exposed-in.html
- 11
- 2021
- accesso
- Consentire
- ha annunciato
- attacchi
- AGOSTO
- azzurro
- BP
- del browser
- clienti
- Cloud
- Convegno
- Consumatori
- controllore
- Credenziali
- Clienti
- Cybersecurity
- software di sicurezza informatica
- decrypt
- scoperto
- esperienza
- Gratis
- futuro
- HTTPS
- IT
- Microsoft
- Rete
- Le password
- PC
- PC
- plaintext
- energia
- protegge
- Affitta
- problemi di
- smart
- Software
- venduto
- diffondere
- iniziato
- test
- Testing
- Il futuro
- attori della minaccia
- tempo
- top
- prova
- utenti
- virtuale
- vulnerabilità
- vulnerabilità
- sito web
- browser web
- OMS
- finestre
Di più da E Hacking Notizie
IISpy: installa Backdoor sul software del server Web di Microsoft
Nodo di origine: 1022323
Timestamp: 11 agosto 2021
L'FBI ha detto al Congresso che i pagamenti di ransomware non dovrebbero essere vietati
Nodo di origine: 1022325
Timestamp: 11 agosto 2021
REvil colpisce il colosso brasiliano della sanità Grupo Fleury
Nodo di origine: 1856955
Timestamp: 28 giugno 2021
La violazione dei dati di Raven Hengelsport espone 18 GB di dati dei clienti
Nodo di origine: 995495
Timestamp: Luglio 29, 2021
Severe Shopify Flaw Exposed GitHub Access Token e repository di codice sorgente
Nodo di origine: 1859100
Timestamp: Luglio 30, 2021
Dettagli privati compromessi dopo un attacco informatico a NSW Health
Nodo di origine: 887754
Timestamp: 8 giugno 2021
Il gruppo di hacker anonimo prende di mira il controverso web host Epik
Nodo di origine: 1089502
Timestamp: Settembre 22, 2021
Attaccanti di phishing individuati utilizzando il codice Morse per evitare il rilevamento
Nodo di origine: 1014382
Timestamp: 14 agosto 2021
Scienziati russi hanno lanciato la prima rete quantistica con accesso aperto a Mosca
Nodo di origine: 1014419
Timestamp: 12 agosto 2021
Sistema di voto elettronico russo colpito da 19 attacchi DDoS in un giorno
Nodo di origine: 1875518
Timestamp: Settembre 22, 2021
I ricercatori rivelano che DBREACH è un nuovo attacco contro i database
Nodo di origine: 1022329
Timestamp: 10 agosto 2021
In che modo i criminali informatici stanno hackerando i bancomat? Ecco una rapida occhiata
Nodo di origine: 874568
Timestamp: 25 Maggio 2021