Bir güvenlik araştırmacısı, bir kullanıcının şifrelenmemiş düz metinli Microsoft Azure kimlik bilgilerini Mimikatz kullanarak Microsoft'un yeni Windows 365 Cloud PC servisinden boşaltmanın bir yolunu çözdü.
Mimikatz, araştırmacıların çeşitli kimlik bilgilerini ve kimliğe bürünme güvenlik açıklarını test etmelerini sağlayan Benjamin Delpy tarafından oluşturulan açık kaynaklı bir siber güvenlik projesidir.
"Plaintexts şifrelerini, karma, pin kodunu ve Kerberos biletlerini bellekten çıkardığı iyi bilinmektedir. Mimikatz, Pass-The Hash, Pass-the-bilet, Altın Biletler, Sertifikalar veya Özel Anahtarlar ile oynayabilir, Vault, .. . Belki kahve yapmak?, "Projenin Github sayfasını açıklar.
Araştırmacılar için yaratılırken, çeşitli modüllerinin gücü nedeniyle, Tehdit Oyuncuları tarafından LSASS işleminin bellüsünden DUPTEXT parolalarını dökmek veya NTLM Hashes kullanılarak Hash-The Hishing saldırıları gerçekleştirecek şekilde kullanılır.
Bu aracı kullanarak, bir Windows etki alanı denetleyicisini kontrol edene kadar tehdit aktörleri bir ağ boyunca yanal olarak yayılabilir ve Windows etki alanını devralmalarına izin verebilir.
2 Ağustos'ta, Microsoft, Windows 365 bulut tabanlı masaüstü hizmetini başlattı ve kullanıcıların bulut PC'lerini kiralayabilmelerini ve uzak masaüstü istemcileri veya bir tarayıcı ile erişebilmelerini sağladı.
Microsoft, ücretsiz bulut PC'lerini iki ay boyunca almak için koşarken hızla kaçan sanal PC'lerin ücretsiz denemelerini sundu.
Delpy, BleepingComputer'a ücretsiz bir deneme alabilecek ve yeni hizmetin güvenliğini test edebilen şanslı birkaç kişi olduğunu söyledi.
Yepyeni hizmetin, Oturum açan kullanıcılar için Microsoft Azure Preactext e-posta adresini ve şifreleri boşaltmasını kötü amaçlı bir programın izin verdiğini buldu.
# Windows365 Azure şifrelerinizi web arayüzüne de dökmek istiyor musunuz? Yeni bir #mimikatz sürümü test etmek için burada! (Uzak Masaüstü Müşteri, elbette hala çalışıyor!) > https://t.co/wzb5gafwfd CC: @wakecoding @rymangan pic.twitter.com/hdrvvt9btg
Kimlik bilgisi dökümü, 2021'de keşfettiği bir güvenlik açığı ile yapıldı.
Bir kullanıcının terminal sunucusu kimlik bilgileri bellekte kaydedildiğinde şifrelenirken, delpl, terminal hizmeti sürecini onun için şifresini çözmek için kandırabileceğini söylüyor.
"Daha da iyisi, terminal sunucusu sürecinden benim için onları şifresini çözmelerini istedim (ve teknik olarak, terminal sunucusu işlemi çekirdeğe kendisi için şifresini çözmesini isteyin)," dedi.
"Çünkü sadece terminal sunucusu bu tür şifre çözme isteyebilir, benim için kimlik bilgilerini şifresini çözmek için kandırmak zorunda kaldım :),"
BleepingComputer, bu tekniği test etmek için Windows 365'te ücretsiz bir bulut PC denemesi kullandı. Web tarayıcısını bağladıktan ve Mimikatz'i idari ayrıcalıklarla başlattıktan sonra, "TS :: LogonPasswords" komutunu girdik ve Mimikatz, giriş bilgilerimizi düz metin olarak, aşağıda gösterildiği gibi hızla attılar.
Bu, uzak masaüstü protokolünü kullandığı için web tarayıcısı üzerinden çalışır.
Mimikatz'i çalıştırmak için bir yönetici olmanız gerekirse ve Azure hesabı kimlik bilgilerinizi zaten biliyorsanız, büyük anlaşmanın ne olduğunu merak ediyor olabilirsiniz.
Yukarıdaki senaryoda, haklısın ve bu önemli değil.
Ancak, komutları çalıştırmak için bir tehdit aktör Windows PC cihazınıza erişimi kazanırsa, ne olur?
Örneğin, Microsoft Defender üzerinden gizlice olan Windows 365 Cloud PC'nizde kötü amaçlı bir ekle bir kimlik avı e-postası açtığınızı söyleyelim.
Belgedeki kötü amaçlı makroları etkinleştirdiğinizde, bir uzaktan erişim programı yükleyebilir, böylece bir tehdit aktörünün Cloud PC'ye erişebilmesi için.
Oradan, PrintNightMare gibi bir güvenlik açığı kullanarak idari ayrıcalıkları elde etmek öneminizdir ve ardından net metin bilgilerinizi Mimikatz ile boşaltın.
Bu kimlik bilgilerini kullanarak, tehdit aktör diğer Microsoft hizmetleri ve potansiyel olarak bir şirketin iç ağıyla yanal olarak yayılabilir.
"Tam olarak normal bir oturumdan boşaltma şifreleri gibidir. Şifrenizi TS oturumlarında terk edersem, daha fazla ayrıcalık, veri, vb. Olabileceğiniz diğer sistemlerde kullanabilirim.
"Yanal hareketler için ortaktır ve diğer sistemlerdeki daha ayrıcalıklı verilere erişim kazandırır. Özellikle başkalarının giriş yaptığı VDI sistemlerinde özellikle yararlıdır."
Delpy, bu yönteme karşı korumak için tipik olarak 2FA, akıllı kartlar, Windows Hello ve Windows Defender Uzaktan Kimlik Bilgileri Muhafızı önereceğini söyledi. Ancak, bu güvenlik özellikleri şu anda Windows 365'te mevcut değildir.
Windows 365'in işletmeye yönelik olduğu için Microsoft, gelecekte bu güvenlik özelliklerini ekleyecektir, ancak şimdilik, bu tekniğin farkında olmak önemlidir.
Microsoft, sunucuların tükendikten sonra Windows 365 denemelerini durdurur
Microsoft'un Windows 365 Cloud PC Servisi canlı - 24 ila 162 $ 'dan maliyetler
Windows 365 - Microsoft'un Yeni Sanallaştırılmış Bulut PC Servisi
Windows 11, TPM tanılama aracını ilk isteğe bağlı özelliğini yapar
EasyWSL, Linux Docker görüntülerini bir Windows 10 WSL dağıtımına dönüştürür
Kaynak: Bleeping Computer