Mimikatz is door een kwetsbaarheidsonderzoeker gebruikt om de niet-gecodeerde Microsoft Azure-inloggegevens van een gebruiker uit de nieuwe Windows 365 Cloud PC-service van Microsoft te dumpen. Benjamin Delpy ontwierp Mimikatz, een open-source cyberbeveiligingssoftware waarmee onderzoekers verschillende kwetsbaarheden voor het stelen van inloggegevens en nabootsing van identiteit kunnen testen.
De cloudgebaseerde desktopservice Windows 365 van Microsoft is op 2 augustus live gegaan, waardoor klanten cloud-pc's kunnen huren en deze kunnen openen via externe desktopclients of een browser. Microsoft bood gratis proefversies van virtuele pc's aan, die snel uitverkocht waren omdat consumenten zich haastten om hun gratis Cloud PC van twee maanden te ontvangen.
Microsoft heeft op de Inspire 365-conferentie hun nieuwe Windows 2021 cloudgebaseerde virtuele desktopervaring aangekondigd, waarmee organisaties Windows 10 Cloud-pc's, en uiteindelijk ook Windows 11, in de cloud kunnen implementeren. Deze service is gebouwd bovenop Azure Virtual Desktop, maar is aangepast om het beheer van en de toegang tot een cloud-pc eenvoudiger te maken.
Delpy vertelde dat hij een van de weinige gelukkigen was die de nieuwe dienst gratis kon uitproberen en de beveiliging ervan begon te testen. Hij ontdekte dat de gloednieuwe dienst een kwaadaardig programma in staat stelt om de e-mailadressen en wachtwoorden van ingelogde klanten in platte tekst van Microsoft Azure te dumpen. De referentiedumps worden uitgevoerd met behulp van een kwetsbaarheid die hij in mei 2021 heeft geïdentificeerd en waarmee hij inloggegevens in platte tekst kan dumpen voor Terminal Server-gebruikers. Hoewel de Terminal Server-referenties van een gebruiker gecodeerd zijn wanneer ze in het geheugen worden bewaard, beweert Delpy dat hij ze kan ontsleutelen met behulp van het Terminal Service-proces.
Om deze techniek te testen gebruikte BleepingComputer een gratis Cloud PC-proefversie op Windows 365. Ze voerden de opdracht “ts::logonpasswords” in nadat ze verbinding hadden gemaakt via de webbrowser en startten mimikatz met beheerdersrechten, en mimikatz dumpte onmiddellijk hun inloggegevens in leesbare tekst.
Hoewel mimikatz is ontworpen voor onderzoekers, gebruiken cybercriminelen het vaak om leesbare wachtwoorden uit het geheugen van het LSASS-proces te halen of pass-the-hash-aanvallen uit te voeren met behulp van NTLM-hashes vanwege de kracht van de verschillende modules. Bedreigingsactoren kunnen deze techniek gebruiken om zich lateraal over een netwerk te verspreiden totdat ze controle krijgen over een Windows-domeincontroller, waardoor ze de controle over het hele Windows-domein kunnen overnemen.
Ter bescherming tegen deze methode raadt Delpy 2FA, smartcards, Windows Hello en Windows Defender Remote Credential Guard aan. Deze beveiligingsmaatregelen zijn echter nog niet beschikbaar in Windows 365. Omdat Windows 365 op ondernemingen is gericht, zal Microsoft deze beveiligingsmaatregelen in de toekomst waarschijnlijk inbouwen, maar voorlopig is het van cruciaal belang om op de hoogte te zijn van de techniek.
Bron: https://www.ehackingnews.com/2021/08/microsoft-azure-credentials-exposed-in.html
- 11
- 2021
- toegang
- Het toestaan
- aangekondigd
- Aanvallen
- Augustus
- Azuur
- BP
- browser
- vorderingen
- klanten
- Cloud
- Conferentie
- Consumenten
- controleur
- Geloofsbrieven
- Klanten
- Cybersecurity
- cyberbeveiligingssoftware
- decoderen
- ontdekt
- ervaring
- Gratis
- toekomst
- HTTPS
- IT
- Microsoft
- netwerk
- wachtwoorden
- PC
- PCs
- Platte tekst
- energie
- beschermen
- Verhuur
- veiligheid
- slim
- Software
- uitverkocht
- verspreiden
- gestart
- proef
- Testen
- De toekomst
- bedreigingsactoren
- niet de tijd of
- top
- proces
- gebruikers
- Virtueel
- kwetsbaarheden
- kwetsbaarheid
- web
- web browser
- WIE
- ruiten
Meer van E Hacking Nieuws
St. Joseph's/Candler (SJ/C) heeft te maken gehad met een gegevenslek
Bronknooppunt: 1864193
Tijdstempel: Augustus 13, 2021
Cinobi Banking Malware richt zich op Japanse Cryptocurrency Exchange-gebruikers via malvertisingcampagne
Bronknooppunt: 1022280
Tijdstempel: Augustus 11, 2021
Duitse verkiezingsautoriteit bevestigt waarschijnlijke cyberaanval
Bronknooppunt: 1867105
Tijdstempel: September 19, 2021
SecureWorx, een Australisch cyberbeveiligingsbedrijf overgenomen door EY
Bronknooppunt: 998192
Tijdstempel: Augustus 3, 2021
$ 6.6 miljoen opgehaald door Bit Discovery Sell Attack Surface Management Tool
Bronknooppunt: 1857004
Tijdstempel: Juni 29, 2021
Apple repareert een macOS Zero Day-kwetsbaarheid, misbruikt door XCSSET macOS Malware
Bronknooppunt: 874560
Tijdstempel: 26 mei 2021
REvil treft Braziliaanse gezondheidsgigant Grupo Fleury
Bronknooppunt: 1856955
Tijdstempel: Juni 28, 2021
Russisch elektronisch stemsysteem getroffen door 19 DDoS-aanvallen op één dag
Bronknooppunt: 1875518
Tijdstempel: September 22, 2021
Onderzoekers ontdekten Russische spionagebureaus die zich op de Slowaakse regering richtten
Bronknooppunt: 1022276
Tijdstempel: Augustus 15, 2021
Microsoft heeft beveiligingsupdates uitgebracht die PetitPotam NTLM Relay-aanvallen blokkeren
Bronknooppunt: 1018438
Tijdstempel: Augustus 12, 2021
Black Hat 2021: Zero-days, losgeld en toeleveringsketens
Bronknooppunt: 1861007
Tijdstempel: Augustus 10, 2021
Links gedetecteerd tussen MSHTML Zero-Day Attacks en Ransomware-operaties
Bronknooppunt: 1875199
Tijdstempel: September 20, 2021