{"id":256677,"date":"2021-08-14T09:47:32","date_gmt":"2021-08-14T07:47:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256677"},"modified":"2021-08-14T10:48:57","modified_gmt":"2021-08-14T08:48:57","slug":"windows-365-anmeldedaten-im-klartext-abgreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/14\/windows-365-anmeldedaten-im-klartext-abgreifbar\/","title":{"rendered":"Windows 365: Anmeldedaten im Klartext abgreifbar"},"content":{"rendered":"

\"Windows\"[English<\/a>]Microsoft hat erst Anfang August 2021 sein Windows 365, bei dem Windows 10 auf Azure l\u00e4uft, vorgestellt und auch f\u00fcr Kunden freigegeben. Es gibt auch eine Testversion, die sich Interessierte ansehen k\u00f6nnen. Nun haben Sicherheitsforscher herausgefunden, dass sich die Anmeldedaten (Benutzername und Kennwort) f\u00fcr eine Windows 365-Instanz im Klartext auslesen lassen. Eine t\u00f6dliche Geschichte, da Angreifer auf diese Weise entsprechende Installationen \u00fcbernehmen k\u00f6nnten.<\/p>\n

<\/p>\n

Windows 365 f\u00fcr die Cloud<\/h2>\n

\"\"Windows 365 ist ein Cloud-Service, der Unternehmen jeder Gr\u00f6\u00dfe neue M\u00f6glichkeiten zur Nutzung von Windows 10 oder Windows 11 er\u00f6ffnen soll. Microsoft will damit das komplette Betriebssystem samt Anwendungen, Daten und Einstellungen in die Microsoft Cloud verlagern. Der Zugriff soll dann von den verschiedensten Firmenger\u00e4ten mit Betriebssystemen wie Windows, Linux, iOS, macOS oder Android erfolgen k\u00f6nnen.<\/p>\n

\"\"Windows 365 wird von Microsoft als \u201esecure by design\" angepriesen und basiert auf dem Zero-Trust-Prinzip. Informationen werden in der Cloud gespeichert, statt auf dem Ger\u00e4t. Das soll ein sicheres und produktives Arbeiten in verschiedensten Situationen zu erm\u00f6glichen. Windows 365 schafft damit eine neue hybride Kategorie f\u00fcr Personal Computer: den Cloud-PC, der sowohl die Leistungsf\u00e4higkeit der Cloud als auch die M\u00f6glichkeiten des Ger\u00e4tes nutzt.<\/p>\n

Ich hatte am 15. Juli 2021 im Blog-Beitrag Windows 365, der Cloud-PC auf der Inspire vorgestellt<\/a> \u00fcber das neue Windows 365 berichtet, welches auf der Microsoft Inspire-Konferenz vorgestellt worden war. Zum 2. August 2021 ging dann das Produkt in den Vertrieb, wie ich im Beitrag Windows 365 verf\u00fcgbar<\/a> berichtete. Es gab auch die M\u00f6glichkeit, ein Testkonto gratis einzurichten, um mit dem Produkt zu experimentieren. Das musste dann aber ausgesetzt werden, weil der Ansturm zu gro\u00df war.<\/p>\n

Windows 365: Anmeldedaten abgreifbar<\/h2>\n

Ich hatte den nachfolgenden Tweet<\/a> von Bejamin Delpy zwar gesehen, aber die Brisanz nicht so ganz erfasst – und war noch auf HiveNightmare fixiert (siehe Neue Infos zur Windows 10-Schwachstelle HiveNightmare<\/a>). Die Botschaft im Tweet: Mit einer modifizierten Version von Mimikatz lassen sich die Azure-Anmeldedaten von Windows 365 ermitteln.<\/p>\n

<\/a><\/p>\n

Mimikatz<\/a> wurde von Benjamin Delpy entwickelt und ist ein freies und quelloffenes Programm, um unter Microsoft Windows, unter Ausnutzung von Schwachstellen, zwischengespeicherte Anmeldeinformationen anzuzeigen. Das Tool wird inzwischen h\u00e4ufig f\u00fcr Cyberangriffe verwendet.<\/p>\n

Bejamin Delpy hat die Tage Kontakt mit Bleeping Computer aufgenommen, die dann den Sachverhalt in einem Artikel<\/a> aufgegriffen haben. Das Auslesen der Azure-Anmeldeinformationen f\u00fcr einem am Terminalserver angemeldeten Benutzer ist wohl \u00fcber eine Schwachstelle m\u00f6glich, die Delpy im Mai 2021 entdeckt<\/a> hat. Diese Terminalserver-Anmeldedaten eines Benutzers werden zwar verschl\u00fcsselt im Speicher abgelegt. Aber Delpy hat eine M\u00f6glichkeit gefunden, den Terminaldienstprozess dazu zu bringen, diese Daten zu entschl\u00fcsseln. Dies erm\u00f6glicht es ihm, die Anmeldedaten der bei einem Terminalserver angemeldeten Benutzer mit der modifizierten mimikatz in unverschl\u00fcsselter Form, d.h. im Klartext, auszulesen.<\/p>\n

Die Kollegen von Bleeping Computer waren in der Lage, die Anmeldedaten an einer eingerichteten Windows 365 Testversion mit der modifizierten Mimikatz-Variante auszulesen. Nachdem \u00fcber einen Browser eine Verbindung zur Windows 365-Instanz hergestellt wurde und mimikatz mit Administratorrechten gestartet war, reichtet der Befehl \"ts::logonpasswords\". Schon wurden die Anmeldedaten im Klartext ausgegeben.<\/p>\n

Es sind zwar Administratorberechtigungen f\u00fcr mimikatz erforderlich. Aber die letzten Wochen haben gezeigt: Ist eine Malware bereits auf einem PC, ist es \u00fcber Schwachstellen wie PrintNightmare m\u00f6glich, die Rechte auszuweiten. Auf einem solchen System k\u00f6nnte die Malware einen RDP-Client installieren. Benutzt der Benutzer eine Windows 365-Instanz, w\u00e4re es der Malware m\u00f6glich, auf den Cloud-PC zuzugreifen und dort seine Aktivit\u00e4ten fortzusetzen.<\/p>\n

Delpy empfiehlt eine Zweifaktor-Authentifizierung, Smartcards, Windows Hello und Windows Defender Remote Credential Guard zum Schutz gegen solche Angriffe. Diese Sicherheitsfunktionen fehlen derzeit aber in Windows 365 und kommen m\u00f6glicherweise erst, wenn das Produkt breiter in Unternehmensumgebungen eingesetzt wird.<\/p>\n

\u00c4hnliche Artikel: <\/strong>
\nWindows 365 verf\u00fcgbar<\/a>
\nWindows 365: Testversion wegen Nachfrage suspendiert<\/a>
\nMicrosofts Cloud PC-Fehler \"failed provisioning\" beim Aufsetzen von Windows 365<\/a>
\nPetitPotam-Angriff erlaubt Windows Domain-\u00dcbernahme<\/a>
\nMicrosoft liefert Workaround f\u00fcr Windows PetitPotam NTLM-Relay-Angriffe<\/a>
\nHiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934<\/a>
\nNeue Infos zur Windows 10-Schwachstelle HiveNightmare<\/a>
\n0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat erst Anfang August 2021 sein Windows 365, bei dem Windows 10 auf Azure l\u00e4uft, vorgestellt und auch f\u00fcr Kunden freigegeben. Es gibt auch eine Testversion, die sich Interessierte ansehen k\u00f6nnen. Nun haben Sicherheitsforscher herausgefunden, dass sich die Anmeldedaten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426,301],"tags":[4328,3288],"class_list":["post-256677","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256677"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256677\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}