Kredensial Microsoft Azure Diekspos dalam Teks Biasa oleh Windows 365

  • Whatsapp
Kredensial Microsoft Azure Diekspos dalam Teks Biasa oleh Windows 365

 

Mimikatz telah digunakan oleh peneliti kerentanan untuk membuang kredensial Microsoft Azure teks biasa yang tidak terenkripsi dari layanan Windows 365 Cloud PC Microsoft yang baru. Benjamin Delpy merancang Mimikatz, perangkat lunak keamanan siber open-source yang memungkinkan peneliti menguji berbagai pencurian kredensial dan kerentanan peniruan identitas.
Layanan desktop berbasis cloud Microsoft Windows 365 ditayangkan pada tanggal 2 Agustus, memungkinkan pelanggan untuk menyewa PC Cloud dan mengaksesnya melalui klien desktop jarak jauh atau browser. Microsoft menawarkan uji coba PC virtual gratis, yang dengan cepat terjual habis karena konsumen bergegas untuk menerima Cloud PC gratis selama dua bulan.
Microsoft mengumumkan pengalaman desktop virtual berbasis cloud Windows 365 baru mereka di konferensi Inspire 2021, yang memungkinkan organisasi untuk menyebarkan PC Cloud Windows 10, serta Windows 11 pada akhirnya, di cloud. Layanan ini dibangun di atas Azure Virtual Desktop, tetapi telah dimodifikasi untuk mempermudah pengelolaan dan pengaksesan Cloud PC.
Delpy mengatakan bahwa dia adalah salah satu dari sedikit orang yang beruntung yang dapat menerima uji coba gratis dari layanan baru dan mulai menguji keamanannya. Dia menemukan bahwa layanan baru memungkinkan program jahat untuk membuang alamat email dan kata sandi teks biasa Microsoft Azure pelanggan yang masuk. Pembuangan kredensial dilakukan menggunakan kerentanan yang dia identifikasi pada Mei 2021 yang memungkinkan dia membuang kredensial teks biasa untuk pengguna Terminal Server. Sementara kredensial Terminal Server pengguna dienkripsi ketika disimpan di memori, Delpy mengklaim dia bisa mendekripsi mereka menggunakan proses Terminal Service.
Untuk menguji teknik ini, BleepingComputer menggunakan uji coba Cloud PC gratis di Windows 365. Mereka memasukkan perintah “ts::logonpasswords” setelah terhubung melalui browser web dan memulai mimikatz dengan hak administratif, dan mimikatz segera membuang kredensial login mereka dalam plaintext.
Sementara mimikatz dirancang untuk peneliti, pelaku ancaman sering menggunakannya untuk mengekstrak kata sandi plaintext dari memori proses LSASS atau melakukan serangan pass-the-hash menggunakan hash NTLM karena kekuatan modulnya yang berbeda. Pelaku ancaman dapat menggunakan teknik ini untuk menyebar secara lateral di seluruh jaringan sampai mereka mendapatkan kendali atas pengontrol domain Windows, memungkinkan mereka untuk mengendalikan seluruh domain Windows.
Untuk melindungi dari metode ini, Delpy merekomendasikan 2FA, smart card, Windows Hello, dan Windows Defender Remote Credential Guard. Namun, langkah-langkah keamanan ini belum dapat diakses di Windows 365. Karena Windows 365 berorientasi pada perusahaan, Microsoft kemungkinan akan menyertakan perlindungan keamanan ini di masa mendatang, tetapi untuk saat ini, penting untuk mengetahui tekniknya.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *