Mimikatz は、脆弱性研究者によって、ユーザーの暗号化されていない平文の Microsoft Azure 資格情報を Microsoft の新しい Windows 365 Cloud PC サービスからダンプするために使用されています。 Benjamin Delpy は、研究者がさまざまな資格情報の盗難やなりすましの脆弱性をテストできるオープンソースのサイバーセキュリティ ソフトウェアである Mimikatz を設計しました。
Microsoft の Windows 365 クラウドベース デスクトップ サービスは 2 月 XNUMX 日に開始され、顧客はクラウド PC をレンタルし、リモート デスクトップ クライアントまたはブラウザ経由でアクセスできるようになりました。 Microsoft は無料の仮想 PC トライアルを提供しましたが、消費者が XNUMX か月間の無料クラウド PC を求めて急いだため、すぐに完売しました。
Microsoft は、Inspire 365 カンファレンスで新しい Windows 2021 クラウドベースの仮想デスクトップ エクスペリエンスを発表しました。これにより、組織は Windows 10 クラウド PC、そして最終的には Windows 11 をクラウド上に展開できるようになります。このサービスは Azure Virtual Desktop 上に構築されていますが、クラウド PC の管理とアクセスが容易になるように変更されています。
デルピー氏は、自分は新しいサービスの無料トライアルを受けることができ、そのセキュリティのテストを開始できた幸運な数少ないうちの 2021 人であると語った。彼は、この新しいサービスにより、悪意のあるプログラムがログイン顧客の Microsoft Azure 平文メール アドレスとパスワードをダンプできることを発見しました。資格情報のダンプは、同氏が XNUMX 年 XNUMX 月に特定した脆弱性を利用して実行され、ターミナル サーバー ユーザーの平文の資格情報をダンプできるようになりました。ユーザーのターミナル サーバーの資格情報はメモリに保存される際には暗号化されますが、デルピー氏は、ターミナル サービスのプロセスを使用して資格情報を復号化できると主張しています。
この手法をテストするために、BleepingComputer は Windows 365 上の無料の Cloud PC トライアルを使用しました。Web ブラウザ経由で接続した後、「ts::logonpasswords」コマンドを入力し、管理者権限で mimikatz を起動すると、mimikatz はすぐにログイン資格情報を平文でダンプしました。
mimikatz は研究者向けに設計されていますが、脅威アクターはこれを頻繁に使用して、LSASS プロセスのメモリから平文パスワードを抽出したり、さまざまなモジュールの能力により NTLM ハッシュを利用してパス ザ ハッシュ攻撃を実行したりします。攻撃者はこの手法を使用して、Windows ドメイン コントローラーを制御できるまでネットワーク全体に横方向に拡散し、Windows ドメイン全体を制御できるようになります。
この方法から保護するために、Delpy では 2FA、スマート カード、Windows Hello、および Windows Defender Remote Credential Guard を推奨しています。ただし、これらのセキュリティ対策は Windows 365 ではまだ利用できません。Windows 365 はエンタープライズ向けであるため、Microsoft は将来これらのセキュリティ保護を組み込む可能性がありますが、当面はこの技術を認識しておくことが重要です。
出典: https://www.ehackingnews.com/2021/08/microsoft-azure-credentials-exused-in.html
