Windows 365: Anmeldedaten im Klartext abgreifbar

Windows[English]Microsoft hat erst Anfang August 2021 sein Windows 365, bei dem Windows 10 auf Azure läuft, vorgestellt und auch für Kunden freigegeben. Es gibt auch eine Testversion, die sich Interessierte ansehen können. Nun haben Sicherheitsforscher herausgefunden, dass sich die Anmeldedaten (Benutzername und Kennwort) für eine Windows 365-Instanz im Klartext auslesen lassen. Eine tödliche Geschichte, da Angreifer auf diese Weise entsprechende Installationen übernehmen könnten.


Anzeige

Windows 365 für die Cloud

Windows 365 ist ein Cloud-Service, der Unternehmen jeder Größe neue Möglichkeiten zur Nutzung von Windows 10 oder Windows 11 eröffnen soll. Microsoft will damit das komplette Betriebssystem samt Anwendungen, Daten und Einstellungen in die Microsoft Cloud verlagern. Der Zugriff soll dann von den verschiedensten Firmengeräten mit Betriebssystemen wie Windows, Linux, iOS, macOS oder Android erfolgen können.

Windows 365 wird von Microsoft als „secure by design" angepriesen und basiert auf dem Zero-Trust-Prinzip. Informationen werden in der Cloud gespeichert, statt auf dem Gerät. Das soll ein sicheres und produktives Arbeiten in verschiedensten Situationen zu ermöglichen. Windows 365 schafft damit eine neue hybride Kategorie für Personal Computer: den Cloud-PC, der sowohl die Leistungsfähigkeit der Cloud als auch die Möglichkeiten des Gerätes nutzt.

Ich hatte am 15. Juli 2021 im Blog-Beitrag Windows 365, der Cloud-PC auf der Inspire vorgestellt über das neue Windows 365 berichtet, welches auf der Microsoft Inspire-Konferenz vorgestellt worden war. Zum 2. August 2021 ging dann das Produkt in den Vertrieb, wie ich im Beitrag Windows 365 verfügbar berichtete. Es gab auch die Möglichkeit, ein Testkonto gratis einzurichten, um mit dem Produkt zu experimentieren. Das musste dann aber ausgesetzt werden, weil der Ansturm zu groß war.

Windows 365: Anmeldedaten abgreifbar

Ich hatte den nachfolgenden Tweet von Bejamin Delpy zwar gesehen, aber die Brisanz nicht so ganz erfasst – und war noch auf HiveNightmare fixiert (siehe Neue Infos zur Windows 10-Schwachstelle HiveNightmare). Die Botschaft im Tweet: Mit einer modifizierten Version von Mimikatz lassen sich die Azure-Anmeldedaten von Windows 365 ermitteln.

Mimikatz wurde von Benjamin Delpy entwickelt und ist ein freies und quelloffenes Programm, um unter Microsoft Windows, unter Ausnutzung von Schwachstellen, zwischengespeicherte Anmeldeinformationen anzuzeigen. Das Tool wird inzwischen häufig für Cyberangriffe verwendet.

Bejamin Delpy hat die Tage Kontakt mit Bleeping Computer aufgenommen, die dann den Sachverhalt in einem Artikel aufgegriffen haben. Das Auslesen der Azure-Anmeldeinformationen für einem am Terminalserver angemeldeten Benutzer ist wohl über eine Schwachstelle möglich, die Delpy im Mai 2021 entdeckt hat. Diese Terminalserver-Anmeldedaten eines Benutzers werden zwar verschlüsselt im Speicher abgelegt. Aber Delpy hat eine Möglichkeit gefunden, den Terminaldienstprozess dazu zu bringen, diese Daten zu entschlüsseln. Dies ermöglicht es ihm, die Anmeldedaten der bei einem Terminalserver angemeldeten Benutzer mit der modifizierten mimikatz in unverschlüsselter Form, d.h. im Klartext, auszulesen.

Die Kollegen von Bleeping Computer waren in der Lage, die Anmeldedaten an einer eingerichteten Windows 365 Testversion mit der modifizierten Mimikatz-Variante auszulesen. Nachdem über einen Browser eine Verbindung zur Windows 365-Instanz hergestellt wurde und mimikatz mit Administratorrechten gestartet war, reichtet der Befehl "ts::logonpasswords". Schon wurden die Anmeldedaten im Klartext ausgegeben.


Anzeige

Es sind zwar Administratorberechtigungen für mimikatz erforderlich. Aber die letzten Wochen haben gezeigt: Ist eine Malware bereits auf einem PC, ist es über Schwachstellen wie PrintNightmare möglich, die Rechte auszuweiten. Auf einem solchen System könnte die Malware einen RDP-Client installieren. Benutzt der Benutzer eine Windows 365-Instanz, wäre es der Malware möglich, auf den Cloud-PC zuzugreifen und dort seine Aktivitäten fortzusetzen.

Delpy empfiehlt eine Zweifaktor-Authentifizierung, Smartcards, Windows Hello und Windows Defender Remote Credential Guard zum Schutz gegen solche Angriffe. Diese Sicherheitsfunktionen fehlen derzeit aber in Windows 365 und kommen möglicherweise erst, wenn das Produkt breiter in Unternehmensumgebungen eingesetzt wird.

Ähnliche Artikel:
Windows 365 verfügbar
Windows 365: Testversion wegen Nachfrage suspendiert
Microsofts Cloud PC-Fehler "failed provisioning" beim Aufsetzen von Windows 365
PetitPotam-Angriff erlaubt Windows Domain-Übernahme
Microsoft liefert Workaround für Windows PetitPotam NTLM-Relay-Angriffe
HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934
Neue Infos zur Windows 10-Schwachstelle HiveNightmare
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Cloud, Sicherheit, Windows abgelegt und mit Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Windows 365: Anmeldedaten im Klartext abgreifbar

  1. Bolko sagt:

    Normalerweise sollen Passwörter nur als Hash gespeichert werden.
    Dann wäre eine Entschlüsselung des Hashes zurück zum Passwort kaum möglich.

    Microsoft macht hier also etwas grundlegend falsch und es ist nicht nur ein Bug, denn bei einem Bug gäbe es die Entschlüsselungsroutine im Terminaldienstprozess gar nicht erst.

    • JohnRipper sagt:

      Sieht tatsächlich nach einem Desgin Flaw aus. Natürlich sollte das nicht sein, vermutlich werden die Informationen auf dem TS aber benötigt um die Anmeldung an anderen Diensten zu ermöglichen, die ein Klartext PW benötigt und es nicht über SSO oder Token geht.

  2. Luzifer sagt:

    tja nennt mich altmodisch, aber meine Daten bleiben auf meinen Servern und nicht in der "Klaut".
    Ein Angriffsvektor weniger um den ich mich sorgen muss.

    • JohnRipper sagt:

      Ja altmodisch und zu eindimensional.

      Auch on prem Server erfordern sehr große Aufmerksamkeit, was Installation und Betrieb angeht inkl. der Nachjustierung auf aktuelle Schwächen.

      Für eine kleine IT ist das kaum noch zu leisten, vorallem weil der Mehrwert für Dritte (Chef/Kostenstellenverantwortlichen) nicht transparent ist. Value at Risk eben, dessen Wert viele nicht verstehen.

      Und MS hat mit Azure eine wirklich gute Basis, eine gewisse Grundsicherung zu bewirken, MFA, Conditional Access, Risk Rated sigin, Logs und Analysen usw.

      Übrigens heißt die Microsoft Cloud nicht, dass ich stumpf alles in die Cloud verlege. Man kann das sehr selektiv entscheiden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.