Windows 365에서 일반 텍스트로 노출되는 Microsoft Azure 자격 증명

Mimikatz는 취약점 연구원이 Microsoft의 새로운 Windows 365 Cloud PC 서비스에서 사용자의 암호화되지 않은 일반 텍스트 Microsoft Azure 자격 증명을 덤프하는 데 사용되었습니다. Benjamin Delpy는 연구원들이 다양한 자격 증명 도용 및 명의 도용 취약성을 테스트할 수 있는 오픈 소스 사이버 보안 소프트웨어인 Mimikatz를 설계했습니다.

Microsoft의 Windows 365 클라우드 기반 데스크톱 서비스가 2월 XNUMX일부터 시작되어 고객은 클라우드 PC를 임대하고 원격 데스크톱 클라이언트 또는 브라우저를 통해 액세스할 수 있습니다. Microsoft는 무료 가상 PC 평가판을 제공했는데, 소비자들이 XNUMX개월 무료 클라우드 PC를 받기 위해 서두르자 이 평가판은 빠르게 매진되었습니다. 

Microsoft는 Inspire 365 컨퍼런스에서 새로운 Windows 2021 클라우드 기반 가상 데스크톱 환경을 발표했습니다. 이를 통해 조직은 Windows 10 Cloud PC는 물론 Windows 11도 클라우드에 배포할 수 있습니다. 이 서비스는 Azure Virtual Desktop을 기반으로 구축되었지만 Cloud PC를 더 쉽게 관리하고 액세스할 수 있도록 수정되었습니다. 

Delpy는 자신이 새로운 서비스의 무료 평가판을 받고 보안 테스트를 시작할 수 있었던 행운아 중 한 명이라고 말했습니다. 그는 이 새로운 서비스를 통해 악성 프로그램이 로그인한 고객의 Microsoft Azure 일반 텍스트 이메일 주소와 비밀번호를 덤프할 수 있다는 사실을 발견했습니다. 자격 증명 덤프는 그가 2021년 XNUMX월에 식별한 취약점을 사용하여 수행됩니다. 이 취약점을 통해 터미널 서버 사용자에 대한 일반 텍스트 자격 증명을 덤프할 수 있습니다. 사용자의 터미널 서버 자격 증명은 메모리에 보관될 때 암호화되지만 Delpy는 터미널 서비스 프로세스를 사용하여 이를 해독할 수 있다고 주장합니다. 

이 기술을 테스트하기 위해 BleepingComputer는 Windows 365에서 무료 Cloud PC 평가판을 사용했습니다. 그들은 웹 브라우저를 통해 연결한 후 "ts::logonpasswords" 명령을 입력하고 관리 권한으로 mimikatz를 시작했으며 mimikatz는 즉시 로그인 자격 증명을 일반 텍스트로 덤프했습니다. 

mimikatz는 연구원을 위해 설계되었지만 위협 행위자는 이를 사용하여 LSASS 프로세스의 메모리에서 일반 텍스트 비밀번호를 추출하거나 다양한 모듈의 성능으로 인해 NTLM 해시를 활용한 해시 통과 공격을 수행하는 데 자주 사용합니다. 위협 행위자는 이 기술을 사용하여 Windows 도메인 컨트롤러에 대한 제어권을 얻을 때까지 네트워크 전체에 측면으로 확산되어 전체 Windows 도메인을 제어할 수 있습니다.

이 방법으로부터 보호하기 위해 Delpy는 2FA, 스마트 카드, Windows Hello 및 Windows Defender Remote Credential Guard를 권장합니다. 그러나 이러한 보안 조치는 Windows 365에서는 아직 액세스할 수 없습니다. Windows 365는 기업을 대상으로 하기 때문에 Microsoft는 향후 이러한 보안 보호 기능을 포함할 가능성이 높지만 당분간은 해당 기술을 인식하는 것이 중요합니다.