Microsoft Azure-referenties weergegeven in platte tekst door Windows 365

Mimikatz is door een kwetsbaarheidsonderzoeker gebruikt om de niet-gecodeerde Microsoft Azure-inloggegevens van een gebruiker uit de nieuwe Windows 365 Cloud PC-service van Microsoft te dumpen. Benjamin Delpy ontwierp Mimikatz, een open-source cyberbeveiligingssoftware waarmee onderzoekers verschillende kwetsbaarheden voor het stelen van inloggegevens en nabootsing van identiteit kunnen testen.

De cloudgebaseerde desktopservice Windows 365 van Microsoft is op 2 augustus live gegaan, waardoor klanten cloud-pc's kunnen huren en deze kunnen openen via externe desktopclients of een browser. Microsoft bood gratis proefversies van virtuele pc's aan, die snel uitverkocht waren omdat consumenten zich haastten om hun gratis Cloud PC van twee maanden te ontvangen. 

Microsoft heeft op de Inspire 365-conferentie hun nieuwe Windows 2021 cloudgebaseerde virtuele desktopervaring aangekondigd, waarmee organisaties Windows 10 Cloud-pc's, en uiteindelijk ook Windows 11, in de cloud kunnen implementeren. Deze service is gebouwd bovenop Azure Virtual Desktop, maar is aangepast om het beheer van en de toegang tot een cloud-pc eenvoudiger te maken. 

Delpy vertelde dat hij een van de weinige gelukkigen was die de nieuwe dienst gratis kon uitproberen en de beveiliging ervan begon te testen. Hij ontdekte dat de gloednieuwe dienst een kwaadaardig programma in staat stelt om de e-mailadressen en wachtwoorden van ingelogde klanten in platte tekst van Microsoft Azure te dumpen. De referentiedumps worden uitgevoerd met behulp van een kwetsbaarheid die hij in mei 2021 heeft geïdentificeerd en waarmee hij inloggegevens in platte tekst kan dumpen voor Terminal Server-gebruikers. Hoewel de Terminal Server-referenties van een gebruiker gecodeerd zijn wanneer ze in het geheugen worden bewaard, beweert Delpy dat hij ze kan ontsleutelen met behulp van het Terminal Service-proces. 

Om deze techniek te testen gebruikte BleepingComputer een gratis Cloud PC-proefversie op Windows 365. Ze voerden de opdracht “ts::logonpasswords” in nadat ze verbinding hadden gemaakt via de webbrowser en startten mimikatz met beheerdersrechten, en mimikatz dumpte onmiddellijk hun inloggegevens in leesbare tekst. 

Hoewel mimikatz is ontworpen voor onderzoekers, gebruiken cybercriminelen het vaak om leesbare wachtwoorden uit het geheugen van het LSASS-proces te halen of pass-the-hash-aanvallen uit te voeren met behulp van NTLM-hashes vanwege de kracht van de verschillende modules. Bedreigingsactoren kunnen deze techniek gebruiken om zich lateraal over een netwerk te verspreiden totdat ze controle krijgen over een Windows-domeincontroller, waardoor ze de controle over het hele Windows-domein kunnen overnemen.

Ter bescherming tegen deze methode raadt Delpy 2FA, smartcards, Windows Hello en Windows Defender Remote Credential Guard aan. Deze beveiligingsmaatregelen zijn echter nog niet beschikbaar in Windows 365. Omdat Windows 365 op ondernemingen is gericht, zal Microsoft deze beveiligingsmaatregelen in de toekomst waarschijnlijk inbouwen, maar voorlopig is het van cruciaal belang om op de hoogte te zijn van de techniek.