Poświadczenia platformy Microsoft Azure ujawnione w postaci zwykłego tekstu przez system Windows 365

Badacz luk w zabezpieczeniach wykorzystał Mimikatz do zrzucenia niezaszyfrowanych danych uwierzytelniających użytkownika Microsoft Azure w postaci zwykłego tekstu z nowej usługi Microsoft Windows 365 Cloud PC. Benjamin Delpy zaprojektował Mimikatz, oprogramowanie do cyberbezpieczeństwa o otwartym kodzie źródłowym, które umożliwia badaczom testowanie różnych luk w zabezpieczeniach związanych z kradzieżą danych uwierzytelniających i podszywaniem się pod inne osoby.

Usługa Microsoft Windows 365 oparta na chmurze dla komputerów stacjonarnych została uruchomiona 2 sierpnia, umożliwiając klientom wypożyczanie komputerów Cloud PC i uzyskiwanie do nich dostępu za pośrednictwem klientów pulpitu zdalnego lub przeglądarki. Firma Microsoft zaoferowała bezpłatne wersje próbne komputerów wirtualnych, które szybko się wyprzedały, ponieważ konsumenci spieszyli się z otrzymaniem dwumiesięcznego bezpłatnego komputera Cloud PC. 

Na konferencji Inspire 365 firma Microsoft ogłosiła nową wersję wirtualnego pulpitu Windows 2021 opartą na chmurze, która umożliwia organizacjom wdrażanie komputerów w chmurze z systemem Windows 10, a ostatecznie także systemu Windows 11, w chmurze. Ta usługa jest oparta na platformie Azure Virtual Desktop, ale została zmodyfikowana, aby ułatwić zarządzanie komputerem w chmurze i uzyskiwanie do niego dostępu. 

Delpy powiedział, że jako jeden z nielicznych szczęśliwców mógł otrzymać bezpłatną wersję próbną nowej usługi i zaczął testować jej bezpieczeństwo. Odkrył, że nowa usługa umożliwia złośliwemu programowi zrzucanie adresów e-mail i haseł zalogowanych klientów na platformie Microsoft Azure w postaci zwykłego tekstu. Zrzuty poświadczeń są przeprowadzane przy użyciu luki w zabezpieczeniach zidentyfikowanej w maju 2021 r., która umożliwia mu zrzucanie poświadczeń w postaci zwykłego tekstu dla użytkowników serwera terminali. Chociaż dane uwierzytelniające serwera terminali użytkownika są szyfrowane, gdy są przechowywane w pamięci, Delpy twierdzi, że mógłby je odszyfrować za pomocą procesu usługi terminalowej. 

Aby przetestować tę technikę, BleepingComputer skorzystał z bezpłatnej wersji próbnej Cloud PC na Windows 365. Po połączeniu się przez przeglądarkę internetową wprowadzili polecenie „ts::logonpasswords” i uruchomili mimikatz z uprawnieniami administracyjnymi, a mimikatz natychmiast zrzucił swoje dane logowania w postaci zwykłego tekstu. 

Chociaż mimikatz został zaprojektowany dla badaczy, przestępcy często używają go do wyodrębniania haseł w postaci zwykłego tekstu z pamięci procesu LSASS lub przeprowadzania ataków typu pass-the-hash z wykorzystaniem skrótów NTLM ze względu na możliwości różnych modułów. Osoby zagrażające mogą wykorzystać tę technikę do bocznego rozprzestrzeniania się w sieci do czasu uzyskania kontroli nad kontrolerem domeny systemu Windows, co umożliwi im przejęcie kontroli nad całą domeną systemu Windows.

Aby zabezpieczyć się przed tą metodą, Delpy zaleca 2FA, karty inteligentne, Windows Hello i Windows Defender Remote Credential Guard. Te środki bezpieczeństwa nie są jednak jeszcze dostępne w systemie Windows 365. Ponieważ system Windows 365 jest przeznaczony dla przedsiębiorstw, firma Microsoft prawdopodobnie uwzględni te zabezpieczenia w przyszłości, ale na razie najważniejsza jest znajomość tej techniki.