ข้อมูลประจำตัวของ Microsoft Azure ที่เปิดเผยในข้อความธรรมดาโดย Windows 365

Mimikatz ถูกใช้โดยนักวิจัยช่องโหว่เพื่อถ่ายโอนข้อมูลประจำตัว Microsoft Azure ที่ไม่ได้เข้ารหัสของผู้ใช้จากบริการ Windows 365 Cloud PC ใหม่ของ Microsoft Benjamin Delpy ได้ออกแบบ Mimikatz ซึ่งเป็นซอฟต์แวร์ความปลอดภัยทางไซเบอร์แบบโอเพ่นซอร์สที่ช่วยให้นักวิจัยสามารถทดสอบช่องโหว่การขโมยข้อมูลประจำตัวและการแอบอ้างบุคคลอื่นได้

บริการเดสก์ท็อปบนคลาวด์ Windows 365 ของ Microsoft เริ่มใช้งานในวันที่ 2 สิงหาคม ทำให้ลูกค้าสามารถเช่า Cloud PC และเข้าถึงได้ผ่านไคลเอนต์เดสก์ท็อประยะไกลหรือเบราว์เซอร์ Microsoft เสนอการทดลองใช้พีซีเสมือนฟรี ซึ่งขายหมดอย่างรวดเร็วเนื่องจากผู้บริโภครีบรับ Cloud PC ฟรีสองเดือน 

Microsoft ได้ประกาศประสบการณ์เดสก์ท็อปเสมือนบนระบบคลาวด์ Windows 365 ใหม่ในการประชุม Inspire 2021 ซึ่งช่วยให้องค์กรสามารถปรับใช้ Windows 10 Cloud PCs รวมถึง Windows 11 บนคลาวด์ได้ในที่สุด บริการนี้สร้างขึ้นบน Azure Virtual Desktop แต่ได้รับการแก้ไขเพื่อให้การจัดการและการเข้าถึง Cloud PC ง่ายขึ้น 

Delpy บอกว่าเขาเป็นหนึ่งในผู้โชคดีไม่กี่คนที่สามารถทดลองใช้บริการใหม่ได้ฟรีและเริ่มทดสอบความปลอดภัย เขาค้นพบว่าบริการใหม่เอี่ยมช่วยให้โปรแกรมที่เป็นอันตรายสามารถทิ้งที่อยู่อีเมลและรหัสผ่านข้อความธรรมดาของ Microsoft Azure ของลูกค้าที่เข้าสู่ระบบได้ การถ่ายโอนข้อมูลรับรองจะดำเนินการโดยใช้ช่องโหว่ที่เขาระบุในเดือนพฤษภาคม 2021 ซึ่งทำให้เขาสามารถถ่ายโอนข้อมูลรับรองแบบข้อความธรรมดาสำหรับผู้ใช้ Terminal Server ในขณะที่ข้อมูลประจำตัวของ Terminal Server ของผู้ใช้จะถูกเข้ารหัสเมื่อเก็บไว้ในหน่วยความจำ Delpy อ้างว่าเขาสามารถถอดรหัสลับได้โดยใช้กระบวนการ Terminal Service 

เพื่อทดสอบเทคนิคนี้ BleepingComputer ใช้ Cloud PC รุ่นทดลองใช้ฟรีบน Windows 365 พวกเขาป้อนคำสั่ง “ts::logonpasswords” หลังจากเชื่อมต่อผ่านเว็บเบราว์เซอร์และเริ่ม mimikatz ด้วยสิทธิ์ระดับผู้ดูแลระบบ และ mimikatz ทิ้งข้อมูลรับรองการเข้าสู่ระบบของพวกเขาในข้อความธรรมดาโดยทันที 

ในขณะที่ mimikatz ได้รับการออกแบบมาสำหรับนักวิจัย ผู้คุกคามมักใช้เพื่อแยกรหัสผ่านแบบข้อความธรรมดาออกจากหน่วยความจำของกระบวนการ LSASS หรือทำการโจมตีแบบพาส-เดอะ-แฮชโดยใช้แฮช NTLM เนื่องจากพลังของโมดูลต่างๆ ผู้คุกคามสามารถใช้เทคนิคนี้ในการแพร่กระจายด้านข้างในเครือข่ายจนกว่าพวกเขาจะเข้าควบคุมโดเมนคอนโทรลเลอร์ของ Windows ได้ ทำให้พวกเขาสามารถควบคุมโดเมน Windows ทั้งหมดได้

เพื่อป้องกันวิธีนี้ Delpy ขอแนะนำ 2FA, สมาร์ทการ์ด, Windows Hello และ Windows Defender Remote Credential Guard อย่างไรก็ตาม มาตรการรักษาความปลอดภัยเหล่านี้ยังไม่สามารถเข้าถึงได้ใน Windows 365 เนื่องจาก Windows 365 มุ่งเน้นไปที่องค์กร Microsoft จึงมีแนวโน้มที่จะรวมการป้องกันความปลอดภัยเหล่านี้ไว้ด้วยในอนาคต แต่ในขณะนี้ สิ่งสำคัญคือต้องตระหนักถึงเทคนิคนี้