Windows 365, Microsoft Azure Kimlik Bilgilerini Tehlikeye Atıyor

Mehmet Sait YILMAZ

14/08/2021

Microsoft’un geçen ay duyurduğu bulut tabanlı işletim sistemi Windows 365 üzerinden, Mimikatz kullanarak kullanıcının plaintext olarak tutulan Azure hesap bilgilerinin çalınabileceğini tespit etti.

Windows 365 kimlik bilgileri plaintext olarak okunabiliyor

Mimikatz programcısı Benjamin Delpy, yaptığı tesetlerde windows 365 üzerinde açılmış olan azure e-posta ve hesap bilgilerin plaintxt olarak okuyabildiğini açıkladı.

Would you like to try to dump your #Windows365 Azure passwords in the Web Interface too?

A new #mimikatz 🥝release is here to test!
(Remote Desktop client still work, of course!)

> https://t.co/Wzb5GAfWfd

cc: @awakecoding @RyMangan pic.twitter.com/hdRvVT9BtG
— 🥝 Benjamin Delpy (@gentilkiwi) August 7, 2021

Kimlik bilgilerin çalınması Mayıs 2021’de keşfettiği ve Terminal Sunucularına giriş yapan kullanıcı bilgilerin plaintext olarak çalınması izin veren bir güvenlik açığından kaynaklanıyor. Aşağıda ekran görüntüsü olan testlerde windows 365’te ücretsiz bulut pc deneme sürümü kullandı. Web tarayıcısı aracılığıyla sisteme bağlanılıyor ve yönetici ayrıcalıklarıyla mimikatz’ı başlatılıyor sonrasında ” ts::logonpasswords” komutu giriliyor sonuç olarak mimikatz aşağıda gösterildiği gibi oturum açma kimlik bilgilerimizi düz metin olarak listeliyor.

Durum düşünüldüğünden daha ciddi olabilir

Normalde şöyle düşünülebilir normalde mimikatz çalıştırmak için yönetici haklarına sahip olmak gerekiyor, zaten yönetici haklarına sahip olan kişi her şeye sahip olabilir. Buraya kadar doğru ancak şöyle bir senaryoda işler değişebilir.

Örneğin, Windows 365 Bulut PC’nizde e-postanız üzerinden phishing saldırısına maruz kaldığınızı düşünün.
Zararlı e-posta içeriğindeki makroları etkinleştirdiğinizde, saldırganların Bulut PC’ye erişebilmesi için bir uzaktan erişim programı yükleyebilir ve aynı zamanda antivirüs sistemlerini devre dışı bırakabilir.
Buradan, PrintNightmare gibi bir güvenlik açığı kullanarak yönetici ayrıcalıkları elde edilebilir ve sonrasında plaintext olarak tutulan kimlik bilgileriniz mimikatz ile çalınabilir.
Bu kimlik bilgilerini kullanarak, saldırganlar diğer Microsoft hizmetleri ve potansiyel olarak bir şirketin ağında yanal olarak yayılabilir.

Delpy, bu yönteme karşı koruma sağlamak için genellikle 2FA, akıllı kartlar, Windows Hello ve Windows Defender Remote Credential Guard’ın önerildiğini belirtti. Ancak, bu güvenlik özellikleri şu anda Windows 365’te mevcut değildir diyede sözlerine ekledi.

Kaynak: bleepingcomputer.com