– Un investigador de seguridad ha encontrado una manera de eliminar las credenciales de Microsoft Azure de texto sin cifrar del nuevo servicio Windows 365 Cloud PC de Microsoft, utilizando Mimikatz.
Mimikatz es un proyecto de ciberseguridad de código abierto creado por Benjamin Delpy que permite a los investigadores probar varias vulnerabilidades de suplantación y robo de credenciales.
“El Mimikatz es famoso por extraer contraseñas de texto sin formato, hashes, códigos PIN y tickets kerberos de la memoria. Mimikatz también puede pasar el hash, pasar el boleto, crear boletos Gold, jugar con certificados o claves privadas, bóveda,… ¿quizás hacer café?”, explica la página de GitHub del proyecto.
Aunque fue creado para investigadores, debido a la solidez de sus diversos módulos, los piratas informáticos lo utilizan comúnmente para volcar contraseñas de texto sin formato de la memoria del proceso LSASS o llevar a cabo ataques pass-the-hash utilizando hashes NTLM.
Con esta herramienta, los piratas informáticos pueden propagarse lateralmente por la red hasta que tengan el control total del dominio de Windows y les permitan apoderarse del dominio de Windows.
El 2 de agosto, Microsoft lanzó su servicio de escritorio basado en la nube Windows 365, que permite a los usuarios alquilar PC en la nube y acceder a ellas a través de un cliente o navegador de escritorio remoto.
Microsoft ofreció una prueba gratuita de PC virtual que se agotó en solo unos días, ya que la gente se apresuró a probar y usar el nuevo servicio.
Delpy dijo que fue uno de los pocos afortunados que pudo obtener una prueba gratuita y comenzar a probar la seguridad del servicio Windows 365. Más tarde descubrió que el nuevo servicio permitía que los programas maliciosos volcaran las direcciones de correo electrónico y las contraseñas de Microsoft Azure en texto sin formato para los usuarios registrados.
Ese proceso de eliminación de datos de credenciales se llevó a cabo a través de una vulnerabilidad que descubrió en mayo de 2021 que le permitió volcar las credenciales de texto sin formato para los usuarios que inician sesión en Terminal Server.
Si bien las credenciales de Terminal Server de un usuario se cifran cuando se almacenan en la memoria, Delpy dice que puede engañar al proceso de Terminal Service para que descifre los datos.
“Aún mejor, le pedí al proceso del servidor de terminal que descifrara esos datos de credenciales por mí (y técnicamente, el proceso del servidor de terminal le pidió al kernel que se descifrara a sí mismo). Dado que solo Terminal Server puede solicitar este tipo de descifrado, tengo que engañarlo para que descifre las credenciales por mí”, dijo Delpy.
Muchos de nosotros podríamos preguntarnos cuál es el problema si un usuario necesita ser administrador primero para ejecutar mimikatz y ese usuario ya conoce las credenciales de la cuenta de Azure que tiene.
En el escenario anterior, eso es cierto, y no es gran cosa.
Sin embargo, ¿qué sucede si el pirata informático puede obtener acceso a la PC con Windows de la víctima para ejecutar comandos?
Por ejemplo, cuando una víctima abre un correo electrónico de phishing con un archivo adjunto malicioso en una PC en la nube con Windows 365, se filtra a través de Microsoft Defender. Una vez que la víctima activa la macro maliciosa en el documento, puede instalar un programa de acceso remoto para que el hacker pueda acceder a la PC en la nube.
A partir de ahí, es fácil obtener privilegios administrativos utilizando una vulnerabilidad como PrintNightmare y luego volcar las credenciales de texto sin cifrar de la víctima con mimikatz. Usando estas credenciales, los piratas informáticos pueden propagarse lateralmente a través de otros servicios de Microsoft y potencialmente en la red interna de la empresa.
“Esto es exactamente como quitar la contraseña de una sesión normal. Si puedo deshacerme de su contraseña, puedo usarla en otros sistemas donde puede tener más privilegios, datos, etc.”, explicó Delpy.
Delpy dijo que normalmente recomendaría 2FA, Smart Card, Windows Hello y Windows Defender Remote Credential Guard para proteger los dispositivos contra este método. Sin embargo, estas funciones de seguridad no están disponibles actualmente en Windows 365.
Dado que Windows 365 está dirigido a empresas, es probable que Microsoft agregue esta función de seguridad en el futuro, pero por ahora, es importante conocer la técnica de piratería.
