Un chercheur en sécurité a trouvé un moyen de faire un dump des informations d'identification Microsoft Azure en clair (non cryptées) d'un utilisateur à partir du nouveau service Windows 365 Cloud PC de Microsoft en utilisant Mimikatz.

Mimikatz est un projet de cybersécurité open-source créé par Benjamin Delpy qui permet aux chercheurs de tester diverses vulnérabilités de vol d'identifiants et d'usurpation d'identité.

Le 2 août, Microsoft a lancé son service de bureau en cloud Windows 365, permettant aux utilisateurs de louer des PC sur le cloud et d'y accéder via des clients de bureau à distance ou un navigateur.

Microsoft a proposé des essais gratuits de PC virtuels qui se sont rapidement épuisés tant les gens se précipitaient pour obtenir leur PC sur cloud gratuit pendant deux mois.

Delpy a déclaré que lors de son essai gratuit, il a commencé à tester la sécurité du nouveau service et il a découvert que ce dernier permet à un programme malveillant de faire un dump de l'adresse e-mail et les mots de passe en clair de Microsoft Azure pour les utilisateurs connectés.

Bien que les informations d'identification d'un utilisateur sur un serveur Terminal Server soient cryptées lorsqu'elles sont stockées en mémoire, M. Delpy explique qu'il a pu tromper le processus du service Terminal Server pour qu'il les décrypte pour lui.

"Encore mieux, j'ai demandé au processus du serveur terminal de les décrypter pour moi (et techniquement, le processus du serveur terminal demande au noyau de les décrypter pour lui-même)", a déclaré Delpy.

Cela fonctionne via le navigateur Web, car le protocole de bureau à distance est toujours utilisé.

"C'est courant pour les mouvements latéraux et l'accès à des données plus privilégiées sur d'autres systèmes. Particulièrement utiles sur les systèmes VDI où d'autres utilisateurs sont également connectés."

Delpy dit qu'il recommanderait généralement le 2FA, les cartes à puce, Windows Hello et Windows Defender Remote Credential Guard pour se protéger contre cette méthode. Cependant, ces fonctions de sécurité ne sont pas actuellement disponibles dans Windows 365.

Comme Windows 365 est orienté vers les entreprises, Microsoft ajoutera probablement ces fonctions de sécurité à l'avenir, mais pour l'instant, il est important d'être conscient de cette vulnérabilité.