Microsoft uvolnil novou cloudovou službu Windows 365, jejímž prostřednictvím nabídl firmám možnost pronájmu virtuálních PC včetně operačního systému, potřebných programů a zdrojů. Díky cloudovému řešení by pracovní prostředí mělo být bezpečné. Alespoň to tak Microsoft sliboval.
Služba se řídí zásadami "Zero-Trust-Princip", tedy nulové důvěry. Mezi programátory je to opatření pro zachování maximální bezpečnosti, které v podstatě zakazuje jakýkoliv přístup, pokud není nutný a ověřený.
Bezpečnostní expert objevil zjevné zranitelnosti
| Zdroj: Twitter/Benjamin Delpy (@gentilkiwi)
Jednomu z odborníků na kybernetickou bezpečnost se nyní zřejmě podařilo zjistit přihlašovací údaje k účtu Windows 365 v Azure. Píše o tom Bleeping Computer ve svém příspěvku s názvem "Windows 365 exposes Microsoft Azure credentials in plaintext". Zde spolu s expertem na cyber security, Benjaminem Delpym, vysvětluje, jak je to možné. Delpy je známý svým projektem Mimikatz, který výzkumníkům v oblasti počítačové bezpečnosti umožňuje testovat různé formy zranitelností, které umožňují krádeže pověření a identit.
Delpymu se podařilo pomocí upravené verze Mimikatzu zjistit přihlašovací údaje do služby Azure v systému Windows 365. Podle informací systém Windows 365 zveřejňuje tyto údaje v prostém textu. Delpy byl mezi prvními testery Windows 365 a získal jeden ze zkušebních účtů na dva měsíce. Microsoft vyzval firmy k účasti na testování bezplatné zkušební verze, ale po náporu zájemců o zkušební přístup nabídku ukončil.
Expert dokázal přelstít proces terminálové služby
Podle sdělených detailů umožňovala objevená zranitelnost číst přihlašovací údaje uživatelů, přihlášených k terminálovému serveru, v prostém textu. V běžných případech jsou přihlašovací údaje šifrovány, ale Delpymu se podařilo terminálový proces obelstít tak, že samotný proces data dešifroval a dal k dispozici v čistém textu.
Tuto zranitelnost může zneužít třetí strana, pokud obejde nástroj Microsoft Defender například prostřednictvím podvodného e-mailu se škodlivou přílohou. Útočník může získat práva správce a poté si snadno zobrazit přihlašovací údaje v čitelné podobě.
video
