吳明宜資訊安全工具 Mimikatz 反而導致 Windows 365 洩露明碼 Azure 登入憑證
微軟本月正式推出了 Windows 365,但一名安全研究人員發現到可以用常見的漏洞檢測工具 Mimikatz 從 Windows 365 取得未加密的 Microsoft Azure 登入憑證資訊。
Windows 365 讓企業可以在任何裝置,包括 Android 裝置或 Chromebook 上啟動 Cloud PC,像在 PC 上執行 Windows 程式和檔案。在微軟提供免費試用兩天後,因為迴響太熱烈,造成伺服器當機。
但是 Windows 365 的安全性引發安全人員關注。Mimikatz 是由安全專家 Benjamin Delpy 所開發的開原碼資訊安全工具,讓研究人員可檢測軟體上是否有可竊取密碼的安全漏洞。但這項工具被駭客使用,也會具有反效果。
Mimikatz 幾乎無所不能
該專案指出,Mimikatz 廣被人知的能力是從 Lsass.exe 行程記憶體中汲取出明文密碼、雜湊、PIN 及 kerberos tickets。它還能操弄憑證或金鑰、建立 Golden ticket,或是利用 NTLM (NT LAN Manager) hash 進行 pass-the-hash、pass-the-ticket 攻擊,幾乎無所不能。
不久前,Windows Print Spooler 發生了 PrintNightmare 漏洞,儘管微軟釋出修補程式,仍被 Delpy 證明有可能用 Mimikatz 在網路上橫向移動,成功控制 Windows 網域控制器,意謂著他可以接管整個 Windows 網域。
他近日因取得 Windows 365 的測試帳號,於是進行研究。他發現 Windows 165 可讓惡意程式倒出已登入用戶的 Azure 明碼電子郵件和密碼。
他是利用今年 5 月間發現的 Remote Desktop Client 漏洞,當時它可明碼曝露登入 Terminal Server 的用戶密碼。Terminal Server 密碼是加密儲存在記憶體中。由於只有 Terminal Server 具有要求 Windows 核心解密資訊的權利,因此 Delpy 利用這項漏洞,在 RDP 連線時輸入指令,成功誘使 Terminal Server 這麼做了。
在最新的測試中,被誘使的對象變成了 Cloud PC。在瀏覽器連線,研究人員以管理員權限啟動 Mimikatz,輸入特定指令,就成功抓出明碼的 Azure 帳密。
Bleeping Computer 表示,對本來就擁有管理員權限,掌握 Azure 帳號的人來說這沒什麼,最可怕的是攻擊者存取管理員的 Windows PC 來執行 Mimikatz,例如管理員開啟了一則惡意網釣信件,使其帳密被竊。這麼一來,攻擊者就可以橫向移動到其他微軟服務,最終控制整個內部網路。
為防止 Windows 365 管理員帳密被竊,Delphy 建議使用者應使用 2FA、智慧卡、Windows Hello 或其他密碼防護功能,但這目前這些功能在 Windows 365 都沒有,或許這也是微軟近日力圖強化的環節。