Windows 365 expose les informations d’identification Microsoft Azure en texte brut

0

Un chercheur en sécurité a trouvé un moyen de vider les informations d’identification Microsoft Azure en texte brut non chiffrées d’un nouveau service Windows 365 Cloud PC de Microsoft à l’aide de Mimikatz.

Mimikatz est un projet de cybersécurité open source créé par Benjamin Delpy qui permet aux chercheurs de tester diverses vulnérabilités de vol d’identifiants et d’usurpation d’identité.

« Il est bien connu d’extraire de la mémoire des mots de passe en clair, des hachages, des codes PIN et des tickets kerberos. Mimikatz peut également effectuer des opérations de pass-the-hash, pass-the-ticket, créer des Golden Tickets, jouer avec des certificats ou des clés privées, un coffre-fort, .. . peut-être faire du café ? », explique la page GitHub du projet.

Bien que créé pour les chercheurs, en raison de la puissance de ses divers modules, il est couramment utilisé par les pirates informatiques pour vider les mots de passe en clair de la mémoire du processus LSASS ou effectuer des attaques par pass-the-hash à l’aide de hachages NTLM.

À l’aide de cet outil, les pirates informatiques peuvent se déplacer latéralement sur un réseau jusqu’à ce qu’ils contrôlent un contrôleur de domaine Windows, ce qui leur permet de prendre le contrôle du domaine Windows.

Les informations d’identification de Windows 365 peuvent être transférées en clair

Le 2 août, Microsoft a lancé son service de bureau basé sur le cloud Windows 365, permettant aux utilisateurs de louer des PC cloud et d’y accéder via des clients de bureau à distance ou un navigateur.

Microsoft a proposé des essais gratuits de PC virtuels qui se sont rapidement épuisés alors que les gens se précipitaient pour obtenir leur Cloud PC gratuit pendant deux mois.

Delpy a déclaré qu’il était l’un des rares chanceux à pouvoir obtenir un essai gratuit et a commencé à tester la sécurité du nouveau service.

Il a découvert que le tout nouveau service permet à un programme malveillant de vider l’adresse e-mail en texte brut et les mots de passe Microsoft Azure pour les utilisateurs connectés.

Les récupérations d’informations d’identification sont effectués via une vulnérabilité qu’il a découverte en Mai 2021 qui lui permet de récupérer les informations d’identification en texte brut pour les utilisateurs connectés à un serveur Terminal Server.

Alors que les informations d’identification Terminal Server d’un utilisateur sont chiffrées lorsqu’elles sont stockées en mémoire, Delpy dit qu’il pourrait tromper le processus Terminal Service en les décryptant pour lui.

« Mieux encore, j’ai demandé au processus du serveur de terminal de les déchiffrer pour moi (et techniquement, le processus du serveur de terminal demande au noyau de le déchiffrer lui-même) », a déclaré Delpy dans une conversation sur ses découvertes.

« Parce que seul le serveur Terminal Server peut demander ce type de décryptage, j’ai dû le tromper pour déchiffrer les informations d’identification pour moi 🙂 »

Des chercheurs ont utilisé un essai gratuit de Cloud PC sur Windows 365 pour tester cette technique. Après s’être connecté via le navigateur Web et lancé mimikatz avec des privilèges administratifs, nous avons entré la commande « ts::logonpasswords » et mimikatz a rapidement récupéré nos informations de connexion en texte clair, comme indiqué ci-dessous.

windows 365 mimikatz
Mimikatz répertoriant les informations d’identification d’un compte Azure en texte brut

Cela fonctionne sur le navigateur Web car il utilise toujours le protocole Remote Desktop.

Alors, quel est le problème ?

Vous vous demandez peut-être quel est le problème si vous devez être un administrateur pour exécuter mimikatz et que vous connaissez déjà les informations d’identification de votre compte Azure.

Dans le scénario ci-dessus, vous avez raison, et ce n’est pas grave.

Cependant, que se passe-t-il si un acteur malveillant accède à votre PC Windows pour exécuter des commandes ?

Par exemple, disons que vous ouvrez un e-mail de phishing avec une pièce jointe malveillante sur votre PC Windows 365 Cloud qui se faufile via Microsoft Defender.

Une fois que vous avez activé les macros malveillantes dans le document, il peut installer un programme d’accès à distance afin qu’un acteur malveillant puisse accéder au Cloud PC.

À partir de là, il est trivial d’obtenir des privilèges administratifs à l’aide d’une vulnérabilité telle que PrintNightmare, puis de vider vos informations d’identification en texte clair avec mimikatz.

À l’aide de ces informations d’identification, l’acteur de la menace peut se propager latéralement via d’autres services Microsoft et potentiellement le réseau interne d’une entreprise.

« C’est exactement comme récupérer les mots de passe d’une session normale. Si je peux récupérer votre mot de passe dans les sessions TS, je peux l’utiliser sur d’autres systèmes où vous pouvez avoir plus de privilèges, de données, etc. « , a expliqué Delpy.

« C’est courant pour les mouvements latéraux et l’accès à des données plus privilégiées sur d’autres systèmes. Particulièrement utile sur les systèmes VDI où d’autres utilisateurs sont également connectés. »

Delpy dit qu’il recommanderait généralement 2FA, les cartes à puce, Windows Hello et Windows Defender Remote Credential Guard pour se protéger contre cette méthode. Cependant, ces fonctionnalités de sécurité ne sont actuellement pas disponibles dans Windows 365.

Comme Windows 365 est orienté vers l’entreprise, Microsoft ajoutera probablement ces fonctionnalités de sécurité à l’avenir, mais pour l’instant, il est important d’être au courant de cette technique.

Laisser un commentaire