一位安全研究人員,剛剛找到了一種利用 Mimikatz,從微軟 Windows 365 Cloud PC 服務中轉儲用戶未加密的明文 Microsoft Azure 憑據的方法。據悉,Mimikatz 是由 Benjamin Delpy 創建的開源網絡安全項目,允許研究人員測試各種憑證竊取和模擬漏洞。
mimikatz 的 GitHub 項目主頁寫道,其具有從內存中提取明文密碼、哈希、PIN 碼和 kerberos 憑證等功能。
尷尬的是,儘管 mimikatz 是專為安全研究人員而創建的,但由於各種模塊的功能相當強大,威脅行為者也能夠利用這把雙刃劍,從 LSASS 進程的內存中轉儲純文本密碼、或執行 NTLM 哈希傳遞攻擊。
此外攻擊者可在整個網絡中橫向傳播,直到他們奪取並接管 Windows 域控制器的控制權。
dump Windows365 Azure passwords in the Web Interface(via)
8 月 2 日,微軟推出了基於 Windows 365 的雲桌面服務,允許用戶租用雲 PC、並通過遠程桌面客戶端或瀏覽器進行訪問。
雖然微軟提供了虛擬 PC 的免費試用版,但名額很快被搶購一空。Benjamin Delpy 在接受 BleepingComputer 採訪時稱,自己有幸獲得了一個能夠測試這項新服務安全性的機會。
結果發現,Windows 365 雲 PC 竟然允許惡意程序轉儲 Microsoft Azure 登錄用戶的明文郵件地址和密碼。
按照既有的技術設定,終端服務器進程將要求內核為其進行解密。
然而通過 2021 年 5 月發現的一個漏洞,他還是順利完成了轉儲登錄終端服務器用戶的明文憑據的相關操作。
儘管用戶的終端服務器憑據在存儲於內存中時會被加密,但 Delpy 聲稱可以通過欺騙終端服務進程的方式來解密。
此外由於使用了 RDP 遠程桌面協議,這套攻擊方案也適用於 Web 瀏覽器。
儘管需要具有管理員權限才能運行 mimikatz,普通賬戶的用戶無需太過擔心。
但若攻擊者獲得了 Windows PC 設備的訪問權限以運行相關命令,後果就難以想象了。
比如,假設你在 Windows 365 雲 PC 上打開了帶有惡意附件的網絡釣魚電子郵件,並且逃過了系統自帶的 Microsoft Defender 安全軟件的眼線。
那樣一旦你啟用了文檔中的惡意宏,它就可以安裝遠程訪問程序,以便攻擊者對 Cloud PC 展開進一步的滲透。
在利用 PrintNightmare 等漏洞來獲得管理員權限之後,藉助 mimikatz 轉儲明文憑據等操作都將唾手可得。
更別提威脅行為者會結合多重手段,向其它 Microsoft 服務和可能的企業內部網絡來橫向傳播。