Windows 365 предоставляет учетные данные Microsoft Azure в виде открытого текста

32
Microsoft исправляет ошибку нулевого дня в Windows CVE-2021-40444 MSHTML

Исследователь безопасности нашел способ сбросить незашифрованные учетные данные Microsoft Azure с открытым текстом из новой облачной службы Microsoft Windows 365 для ПК с помощью Mimikatz.

Mimikatz – это проект кибербезопасности с открытым исходным кодом, созданный Бенджамином Делпи, который позволяет исследователям тестировать различные уязвимости, связанные с кражей учетных данных и выдачей себя за другое лицо .

Известно, что извлечение из памяти паролей в открытом виде, хэша, PIN-кода и тикетов Kerberos. Mimikatz также может выполнять передачу хэша, передачу билета, создание золотых билетов, игру с сертификатами или закрытыми ключами, хранилище и т. Д. Может быть, приготовить кофе? »- поясняет страница проекта на GitHub .

Несмотря на то, что он создан для исследователей, из-за мощности различных модулей, он обычно используется злоумышленниками для выгрузки паролей в виде открытого текста из памяти процесса LSASS или для выполнения атак с использованием хэша с использованием NTLM-хэшей.

Используя этот инструмент, злоумышленники могут распространяться по сети горизонтально, пока они не получат контроль над контроллером домена Windows, что позволит им захватить домен Windows.

Учетные данные Windows 365 могут быть сброшены в виде открытого текста

2 августа Microsoft запустила свою облачную службу настольных компьютеров на базе Windows 365 , позволяющую пользователям арендовать облачные ПК и получать к ним доступ через клиенты удаленного рабочего стола или браузер.

Microsoft предложила бесплатные пробные версии виртуальных ПК, которые быстро закончились, поскольку люди поспешили получить свои бесплатные облачные ПК на два месяца.

Дельпи сказал BleepingComputer, что он был одним из немногих счастливчиков, кто смог получить бесплатную пробную версию и начал тестирование безопасности новой службы.

Он обнаружил, что новая служба позволяет вредоносной программе сбрасывать в дамп открытый текстовый адрес электронной почты Microsoft Azure и пароли для вошедших в систему пользователей.

Итак, в чем дело?

Вам может быть интересно, в чем дело, если вам нужно быть администратором для запуска mimikatz и вы уже знаете учетные данные своей учетной записи Azure.

В приведенном выше сценарии вы правы, и это не имеет большого значения.

Однако что произойдет, если злоумышленник получит доступ к вашему ПК с Windows для выполнения команд?

Например, предположим, что вы открываете фишинговое электронное письмо с вредоносным вложением на своем облачном ПК с Windows 365, которое проникает через Microsoft Defender.

После того, как вы включите вредоносные макросы в документе, он сможет установить программу удаленного доступа, чтобы злоумышленник мог получить доступ к облачному ПК.

Оттуда легко получить административные привилегии с помощью такой уязвимости, как PrintNightmare, а затем сбросить свои учетные данные в виде открытого текста с помощью mimikatz.

Используя эти учетные данные, злоумышленник может распространяться через другие службы Microsoft и, возможно, внутреннюю сеть компании.

«Это в точности похоже на сброс паролей из обычного сеанса. Если я могу сбрасывать ваш пароль в сеансах TS, я могу использовать его в других системах, где вы можете иметь больше прав, данных и т. Д.», – объяснил Делпи.

«Это обычное дело для бокового перемещения и получения доступа к более привилегированным данным в других системах. Особенно полезно в системах VDI, где другие пользователи также вошли в систему».

Делпи говорит, что он обычно рекомендует 2FA, смарт-карты, Windows Hello и Remote Credential Guard в Защитнике Windows для защиты от этого метода. Однако эти функции безопасности в настоящее время недоступны в Windows 365.

Поскольку Windows 365 ориентирована на предприятия, Microsoft, вероятно, добавит эти функции безопасности в будущем, но на данный момент важно знать об этой технике.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here