外媒 BleepingComputer 报道,微软此前表示 Windows 365 云电脑解决方案,比直接在你的 PC 设备上运行软件要安全得多,但现在黑客已经找到了利用远程访问软件窃取你的用户名和密码凭据的方法。
安全研究员 Benjamin Delphy 通过使用一系列工具实现了这一壮举。他使用 Mimikatz 工具,该工具可以从内存中读取未加密明文的密码,以及他发现的一个 Windows Terminal 的漏洞,虽然用户的终端服务器凭证在存储在内存中时是加密的,但 Delpy 说他可以欺骗终端服务程序为其解密,从而提供用户用于登录 Windows 365 的用户名和密码。
然后这些凭证可以用来访问网络上的其他资源,并在计算机之间传播,并且很可能在这个过程中安装勒索软件。
Mimikatz 是一个开源网络安全项目,由 Benjamin Delpy 创建,允许研究人员测试各种凭证窃取和冒充漏洞。
GitHub 页面显示,它可以从内存中提取明文密码、哈希值、PIN 码和 kerberos 票据。Mimikatz 还可以执行 pass-the-hash、pass-the-ticket、建立黄金票据、玩弄证书或私钥等等。
虽然是为研究人员创建的,但由于其各种模块的强大功能,它通常被威胁者用来从 LSASS 进程的内存中转储明文密码,或使用 NTLM 哈希值进行传递哈希攻击。
IT之家获悉,Delphy 指出,Windows Hello、智能卡和其他 2FA 可能有助于防止这次攻击,但 Windows 365 依赖于用户名和密码,所以并不容易起到保护。
由于 Windows 365 是面向企业的,微软很可能在未来增加这些安全功能。
