聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全研究员 Benjamin Delpy 找到了使用 MImikatz 从微软的 Windows 365 Cloud PC 新服务中转储用户未加密明文微软 Azure 凭据的方法。

Mimikatz 是 Benjamin Delpy 创建的开源网络安全项目，可使研究员测试多种凭据窃取和假冒漏洞。该项目的 GitHub 页面指出，“它可以从内存中提取明文密码、哈希、PIN代码和 Kerberos 票据，还可以执行传递哈希、传递票据、构建 Golden 票据、玩转证书或私约、保险库，可能还能做咖啡?”

虽然是为研究人员创建的，但由于其强大的多种模块，威胁行动者也会借此从 LSASS 进程的内存中转储明文密码或使用 NTLM 哈希执行传递哈希攻击。

威胁行动者可使用该工具在网络中横向传递，进而控制Windows 域名控制器，从而接管 Windows 域名。

以明文形式转储 Windows 365凭据

8月2日，微软推出 Windows 365 云桌面服务，可使用户租赁 Cloud PC 并通过远程桌面客户端或浏览器进行访问。微软提供免费试用虚拟 PC机服务且已迅速用完。Delpy 表示自己是获得免费试用的幸运儿之一并开始测试该服务的安全性，结果发现恶意程序可转储已登录用户的微软 Azure 明文邮件地址和密码。凭据转储是通过自己在2021年5月发现的一个漏洞完成的，该漏洞可导致登录到 Terminal Server 的用户转储明文凭据。虽然用户的 Terminal Server 凭据存储在内存中时是加密的，但 Deply 指出自己可以使 Terminal Service 进程进行解密。

他表示，“更好的是，我要求该终端服务器进程进行解密（从技术上来说，终端服务器进程要求内核为自身解密）。因为只有 Terminal Server 才能要求解密自身，因此我必须诱骗它解密凭据。”

媒体 BleepingComputer 指出已经通过一个免费的 Cloud PC 试用在 Windows 365 上测试了该技术，通过连接到 web 浏览器并通过管理员权限启动 Mimikatz 后输入 “ts::logonpasswords” 命令，mimikatz 快速以明文形式转储了登录凭据。它也适用于 web 浏览器，因为它仍然在试用远程桌面协议。

影响

读者可能认为，需要成为管理员才能运行 mimikatz，而且已经知道自己的 Azure 账户凭据，这件事情不会造成多大影响。

在上述场景下，确实如此。

然而，如果在威胁行动者获得访问用户 Windows PC 设备的权限运行命令的场景下会怎样？

例如，如果用户在 Windows 365 Cloud PC 上打开附加恶意附件的钓鱼邮件，且该 PC 绕过了微软 Defender的防护措施会怎样？一旦在文档中启动恶意宏，就能安装远程访问程序，导致威胁行动者访问 Cloud PC。

之后，威胁行动者只要通过 PrintNightmare 这样的漏洞即可获得管理员权限，之后通过 mimikatz 转储明文凭据。通过这些凭据，威胁行动者就能在其它微软服务也有可能在企业内网中横向移动。

Delpy 解释称，“就像从正常会话中转储密码。如果能够在 TS 会话中转储密码，则可以在其它系统上使用，从而获得更多的权限、数据等。”

Delpy 表示，“横向移动和在其它系统上获得访问更多权限数据的权限很常见，尤其在其它用户也登录的 VDI 系统上更为有用。”Deply 表示一般推荐双因素认证、智能卡、Windows Hello 和 Windows Defender 远程凭据卫士防御这种攻击方法。然而，这些安全特性不存在于 Windows 365 中。随着 Windows 365 向企业迈进，微软可能会在未来增加这些安全特性，不过目前需要警惕这种攻击技术。

推荐阅读

我发现了 Microsoft Azure 中的两个漏洞

微软推出 Azure Sphere 漏洞奖励计划，最高奖金10万美元

BlackHat |微软发布 Azure 安全实验室新测试环境，最高赏30万美元

原文链接

https://www.bleepingcomputer.com/news/microsoft/windows-365-exposes-microsoft-azure-credentials-in-plaintext/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~