- ช่องโหว่อื่นของผลิตภัณฑ์ Microsoft สามารถอนุญาตให้บุคคลที่สามที่เป็นอันตรายได้รับข้อมูลจากบุคคลที่เข้าสู่ระบบ Windows 365
- นักวิจัยค้นพบวิธีถ่ายโอนข้อมูลรับรอง Microsoft Azure แบบข้อความธรรมดาที่ไม่ได้เข้ารหัสของผู้ใช้ ใช้ Mimikatz
- การใช้เครื่องมือดังกล่าว แฮกเกอร์สามารถ กระจายไปด้านข้างทั่วทั้งเครือข่ายจนกว่าพวกเขาจะควบคุมตัวควบคุมโดเมนของ Windows ดังนั้นจึงอนุญาตให้เข้ายึดครองได้
- การทิ้งข้อมูลรับรองเหล่านี้จริง ๆ แล้วทำผ่าน a ช่องโหว่ที่ถูกค้นพบเมื่อเดือนพฤษภาคม 2564
ดูเหมือนว่า Microsoft ไม่สามารถหยุดพักได้เมื่อต้องจัดการกับช่องโหว่และการเอารัดเอาเปรียบบางส่วนอย่างต่อเนื่อง
และนอกเหนือจากเรื่อง PrintNightmare ที่ไม่มีวันจบสิ้น ตอนนี้ช่องโหว่ร้ายแรงที่ส่งผลต่อ Windows 365 ซึ่งเป็นบริการพีซีบนระบบคลาวด์ใหม่ของบริษัท
ปัญหาที่ไม่คาดคิดนี้จะทำให้บุคคลที่สามที่เป็นอันตรายได้รับข้อมูลประจำตัว Azure ของบุคคลที่เข้าสู่ระบบ Windows 365
ช่องโหว่ของ Windows 365 นี้อาจทำให้ข้อมูลรั่วไหลได้
นักวิจัยด้านความปลอดภัยพบวิธีถ่ายโอนข้อมูลประจำตัว Microsoft Azure ที่ไม่ได้เข้ารหัสของผู้คนจาก Microsoft Azure ใหม่ บริการ Windows 365 Cloud PC ใช้ Mimikatz
หากคุณไม่คุ้นเคยกับคำศัพท์นี้ Mimikatz เป็นโครงการความปลอดภัยทางไซเบอร์แบบโอเพ่นซอร์สที่สร้างขึ้นโดย เบนจามิน เดลปี้ซึ่งช่วยให้นักวิจัยสามารถทดสอบช่องโหว่การขโมยข้อมูลประจำตัวและการแอบอ้างบุคคลอื่นได้
ส่วนหนึ่งของข้อความที่สามารถพบได้ใน. ของโครงการนี้ หน้า GitHub บ่งบอกถึงความง่ายในการใช้เครื่องมือดังกล่าวเพื่อดึงข้อมูลส่วนตัว
เป็นที่ทราบกันดีในการแยกรหัสผ่านข้อความธรรมดา แฮช รหัส PIN และตั๋ว Kerberos ออกจากหน่วยความจำ mimikatz ยังสามารถดำเนินการ pass-the-hash, pass-the-ticket, สร้างตั๋วทองคำ, เล่นกับใบรับรองหรือกุญแจส่วนตัว, หลุมฝังศพ, … ทำกาแฟได้ไหม?
สร้างขึ้นครั้งแรกสำหรับนักวิจัยเนื่องจากพลังของโมดูลจำนวนมากจึงถูกใช้โดยแฮกเกอร์ตามลำดับ เพื่อดัมพ์รหัสผ่านข้อความธรรมดาจากหน่วยความจำของกระบวนการ LSASS หรือทำการโจมตีแบบพาส-เดอะ-แฮชโดยใช้ NTLM แฮช
ด้วยการใช้เครื่องมือที่มีประสิทธิภาพนี้ บุคคลที่ประสงค์ร้ายสามารถแพร่กระจายไปด้านข้างทั่วทั้งเครือข่ายได้จนกว่าจะควบคุมตัวควบคุมโดเมนของ Windows ดังนั้นจึงทำให้พวกเขาเข้าควบคุมได้
คุณต้องการที่จะลองทิ้งของคุณ #Windows365 รหัสผ่าน Azure ในเว็บอินเตอร์เฟสด้วยหรือไม่
ใหม่ #มิมิคัตสึ 🥝release อยู่ที่นี่เพื่อทดสอบ!
(ไคลเอนต์เดสก์ท็อประยะไกลยังคงใช้งานได้แน่นอน!)> https://t.co/Wzb5GAfWfd
ซีซี: @wakecoding@RyMangapic.twitter.com/hdRvVT9BtG
– 🥝 เบนจามิน เดลปี (@gentilkiwi) 7 สิงหาคม 2564
สมมติว่าสำหรับคนส่วนใหญ่ จะไม่มีความเสี่ยงสูง โดยสมมติว่าพวกเขาไม่ได้แบ่งปันสิทธิ์ของผู้ดูแลระบบพีซีกับใครก็ตามที่พวกเขาไม่ไว้วางใจ
แต่เมื่อเห็นว่ามีคนจำนวนเท่าใดที่ตกเป็นเหยื่อของแผนการฟิชชิ่ง ซึ่งส่งผลให้มีการส่งการควบคุมพีซีของคุณไปยังผู้โจมตีที่ไม่รู้จัก ไม่ใช่เรื่องแปลก
เมื่อเข้าไปข้างในแล้ว พวกเขาสามารถเรียกใช้แอปพลิเคชันและโปรแกรมจากระยะไกลบนเครื่องของคุณ พวกเขาสามารถใช้โปรแกรมเพื่อกวาดข้อมูลรับรอง Azure ของคุณผ่าน Windows 365 ได้อย่างง่ายดาย
Windows 365 เป็นคุณลักษณะสำหรับธุรกิจและองค์กร ดังนั้นคุณอาจจินตนาการได้ว่าการขโมยข้อมูลประจำตัวจะเป็นอันตรายเพียงใด
การถ่ายโอนข้อมูลรับรองเหล่านี้ดำเนินการผ่าน a ช่องโหว่ที่เขาค้นพบในเดือนพฤษภาคม 2021ซึ่งช่วยให้เขาถ่ายโอนข้อมูลรับรองข้อความธรรมดาสำหรับผู้ใช้ที่ลงชื่อเข้าใช้ Terminal Server
เครื่องมือเช่น Windows Defender Remote Credential Guard มักจะป้องกันปัญหานี้จากผู้ใช้ที่มีอยู่และคุกคาม แต่เครื่องมือดังกล่าวยังไม่มีอยู่ใน Windows 365 ทำให้มีความเสี่ยง
อย่าลืมทำทุกอย่างเพื่อปกป้องข้อมูลประจำตัวและข้อมูลสำคัญอื่นๆ ของคุณ โดยไม่แบ่งปันและทำให้แน่ใจว่าคุณดาวน์โหลดจากเว็บไซต์ที่ได้รับการรับรองเท่านั้น
คุณเคยตกเป็นเหยื่อของการรั่วไหลของข้อมูลหรือไม่? แบ่งปันประสบการณ์ของคุณกับเราในส่วนความคิดเห็นด้านล่าง
