Start Microsoft Open-Source-Tool kann Microsoft Azure-Anmeldeinformationen aus Windows 365 im Klartext abrufen

Open-Source-Tool kann Microsoft Azure-Anmeldeinformationen aus Windows 365 im Klartext abrufen

5
0


Anmeldeinformationen auf Haftnotiz

Der Windows 365 Cloud-PC von Microsoft ist zwar erst wenige Wochen alt, aber es wurde bereits eine Sicherheitslücke gefunden, die ausgenutzt werden kann, um Microsoft Azure-Anmeldeinformationen zu extrahieren.

Die Credential-Extraktion wird durch das Open-Source-Tool Mimikatz ermöglicht, das vom Sicherheitsforscher Benjamin Delpy (einer der Namen, die mit der Aufdeckung der PrintNightmare-Schwachstellen verbunden sind) entwickelt wurde. Admin-Rechte sind dennoch erforderlich, um den Exploit auszuführen, den es betrifft.

Siehe auch:

Der Exploit nutzt eine weitere Schwachstelle aus, die Delpy Anfang des Jahres entdeckt hat. Er entdeckte eine Möglichkeit, Anmeldeinformationen für Benutzer abzurufen, die sich bei einem Terminalserver angemeldet haben, indem er den Terminaldienstprozess verwendet, um verschlüsselte Daten zu entschlüsseln.

Delpy twitterte über die Sicherheitslücke und verwendet ein animiertes GIF, um Mimikatz in Aktion zu zeigen:

Piepsender Computer testete die Schwachstelle auch mit einem Testkonto von Windows 365 Cloud PC. Lawrence Abrams erklärt:

Nachdem wir über den Webbrowser eine Verbindung hergestellt und mimikatz mit Administratorrechten gestartet hatten, traten wir in die ts::logonpasswords Befehl und mimikatz haben unsere Anmeldedaten schnell im Klartext ausgegeben […] Dies funktioniert über den Webbrowser, da er immer noch das Remote Desktop Protocol verwendet.

Obwohl Administratorrechte erforderlich sind, um die Sicherheitsanfälligkeit auszunutzen, gibt es so viele Möglichkeiten, dies zu erreichen, dass Delpys Entdeckung nach wie vor zutiefst beunruhigend ist. Derzeit unterstützt Windows 365 keine Sicherheitsfunktionen wie die Zwei-Faktor-Authentifizierung, Windows Hello und Smartcards. Dies sind die Maßnahmen, die zum Schutz von Anmeldeinformationen erforderlich sind.

Sie können mehr erfahren über Mimikatz auf GitHub.

Bildnachweis: Georgy Timoshin / Shutterstock



Vorheriger ArtikelSatechi veröffentlicht Slim X2 Bluetooth-Tastatur mit Hintergrundbeleuchtung für Apple iPhone, iPad und Mac
Nächster ArtikelDas Optimierungstool ThisIsWin11 ist „das echte PowerToys für Windows 11“

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein