資訊安全工具Mimikatz反而導致Windows 365洩露明碼Azure登入憑證
微軟本月正式推出了Windows 365,但一名安全研究人員發現到可以用常見的漏洞檢測工具Mimikatz從Windows 365取得未加密的Microsoft Azure登入憑證資訊。
Windows 365讓企業可以在任何裝置,包括Android裝置或Chromebook上啟動Cloud PC,像在PC上執行Windows程式和檔案。在微軟提供免費試用兩天後,因為迴響太熱烈,造成伺服器當機。
但是Windows 365的安全性引發安全人員關注。Mimikatz是由安全專家Benjamin Delpy所開發的開原碼資訊安全工具,讓研究人員可檢測軟體上是否有可竊取密碼的安全漏洞。但這項工具被駭客使用,也會具有反效果。
Mimikatz幾乎無所不能
該專案指出,Mimikatz廣被人知的能力是從Lsass.exe行程記憶體中汲取出明文密碼、雜湊、PIN及kerberos tickets。它還能操弄憑證或金鑰、建立Golden ticket,或是利用NTLM (NT LAN Manager) hash進行pass-the-hash、pass-the-ticket攻擊,幾乎無所不能。
不久前,Windows Print Spooler發生了PrintNightmare漏洞,儘管微軟釋出修補程式,仍被Delpy證明有可能用Mimikatz在網路上橫向移動,成功控制Windows 網域控制器,意謂著他可以接管整個Windows 網域。
他近日因取得Windows 365的測試帳號,於是進行研究。他發現Windows 165可讓惡意程式倒出已登入用戶的Azure明碼電子郵件和密碼。
他是利用今年5月間發現的Remote Desktop Client漏洞,當時它可明碼曝露登入Terminal Server的用戶密碼。Terminal Server密碼是加密儲存在記憶體中。由於只有Terminal Server具有要求Windows核心解密資訊的權利,因此Delpy利用這項漏洞,在RDP連線時輸入指令,成功誘使Terminal Server這麼做了。
在最新的測試中,被誘使的對象變成了Cloud PC。在瀏覽器連線,研究人員以管理員權限啟動Mimikatz,輸入特定指令,就成功抓出明碼的Azure帳密。
Bleeping Computer表示,對本來就擁有管理員權限,掌握Azure帳號的人來說這沒什麼,最可怕的是攻擊者存取管理員的Windows PC來執行Mimikatz,例如管理員開啟了一則惡意網釣信件,使其帳密被竊。這麼一來,攻擊者就可以橫向移動到其他微軟服務,最終控制整個內部網路。
為防止Windows 365管理員帳密被竊,Delphy建議使用者應使用2FA、智慧卡、Windows Hello或其他密碼防護功能,但這目前這些功能在Windows 365都沒有,或許這也是微軟近日力圖強化的環節。