Windows 365 Jadi Celah Bobol Data Kredensial Layanan Microsoft Azure

Windows 365 Jadi Celah Bobol Data Kredensial Layanan Microsoft Azure

NESABAMEDIA.COMSeorang peneliti keamanan telah menemukan cara untuk membuang kredensial Microsoft Azure plain text yang tidak terenkripsi dari layanan PC Cloud Windows 365 Microsoft yang baru, menggunakan Mimikatz.

Mimikatz adalah proyek keamanan siber open source yang dibuat oleh Benjamin Delpy yang memungkinkan para peneliti menguji berbagai pencurian kredensial dan kerentanan peniruan identitas.

“Mimikatz ini terkenal untuk mengekstrak kata sandi plaintext, hash, kode PIN, dan tiket kerberos dari memori. Mimikatz juga dapat melakukan pass-the-hash, pass-the-ticket, membuat tiket Emas, bermain dengan sertifikat atau kunci pribadi, vault, .. .mungkin membuat kopi?,” jelas halaman GitHub proyek tersebut.

Meskipun dibuat untuk peneliti, karena kekuatan berbagai modulnya, biasanya digunakan oleh pelaku peretasan untuk membuang kata sandi plaintext dari memori proses LSASS atau melakukan serangan pass-the-hash menggunakan hash NTLM.

Dengan menggunakan alat ini, pelaku peretasan dapat menyebar secara lateral ke seluruh jaringan hingga mereka bisa mengontrol penuh domain Windows, dan memungkinkan mereka mengambil alih domain Windows.

Pada tanggal 2 Agustus, Microsoft meluncurkan layanan desktop berbasis cloud Windows 365, yang memungkinkan pengguna untuk menyewa PC Cloud dan mengaksesnya melalui klien desktop jarak jauh atau browser.

Microsoft menawarkan uji coba PC virtual gratis yang kemudian hanya dalam waktu beberapa hari telah habis, karena orang-orang berebut untuk mencicipi dan menggunakan layanan baru tersebut.

Delpy mengatakan bahwa dia adalah salah satu dari sedikit yang beruntung yang bisa mendapatkan uji coba gratis dan mulai menguji keamanan layanan Windows 365 itu. Dia kemudian menemukan bahwa layanan baru itu memungkinkan program jahat untuk membuang alamat email dan kata sandi Microsoft Azure plaintext untuk pengguna yang masuk.

Proses pembuangan data kredensial itu dilakukan melalui kerentanan yang dia temukan pada Mei 2021 yang memungkinkan dia membuang kredensial teks biasa untuk pengguna yang masuk ke Server Terminal.

Sementara kredensial Terminal Server pengguna dienkripsi ketika disimpan dalam memori, Delpy mengatakan dia bisa mengelabui proses Terminal Service untuk mendekripsi data-data tersebut.

“Bahkan lebih baik, saya meminta proses terminal server untuk mendekripsi data kredensial itu untuk saya (dan secara teknis, proses terminal server meminta kernel untuk mendekripsi sendiri). Karena hanya Terminal Server yang dapat meminta dekripsi semacam ini, saya harus mengelabuinya untuk mendekripsi kredensial untuk saya,” kata Delpy

Banyak dari kita mungkin bertanya-tanya apa masalahnya jika pengguna perlu menjadi Administrator terlebihi dahulu untuk menjalankan mimikatz dan pengguna itu sudah mengetahui kredensial akun Azure yang dimiliki.

Dalam skenario di atas, hal itu memang benar, dan itu bukan masalah besar.

Namun, apa yang terjadi jika pelaku peretasan bisa memperoleh akses ke perangkat PC Windows korbannya untuk menjalankan perintah?

Misalnya, ketika korban membuka email phishing dengan lampiran berbahaya di Windows 365 Cloud PC, yang menyelinap melalui Microsoft Defender. Setelah korban  mengaktifkan makro jahat dalam dokumen, ia dapat menginstal program akses jarak jauh sehingga peretas dapat mengakses Cloud PC.

Dari sana, mudah untuk mendapatkan hak administratif menggunakan kerentanan seperti PrintNightmare dan kemudian membuang kredensial teks-jelas korban dengan mimikatz. Dengan menggunakan kredensial ini, pelaku peretasan dapat menyebar secara lateral melalui layanan Microsoft lainnya dan berpotensi ke jaringan internal perusahaan.

“Ini persis seperti membuang kata sandi dari sesi normal. Jika saya dapat membuang kata sandi Anda, saya dapat menggunakannya di sistem lain di mana Anda dapat memiliki lebih banyak hak istimewa, data, dll,” jelas Delpy.

Delpy mengatakan dia biasanya akan merekomendasikan 2FA, Smart Card, Windows Hello, dan Windows Defender Remote Credential Guard untuk melindungi perangkat dari metode ini. Namun, fitur keamanan tersebut saat ini tidak tersedia di Windows 365.

Karena Windows 365 ditujukan untuk perusahaan, Microsoft kemungkinan akan menambahkan fitur keamanan ini di masa mendatang, tetapi untuk saat ini, penting untuk mengetahui teknik peretasan tersebut.

Leave a Reply

Send this to a friend