Bezpečnostní díra Windows 365: přihlašovací údaje jsou k dispozici v prostém textu

Jiří Palyza 17.08.2021

Nová cloudová služba Microsoftu v podobě virtuálních počítačů Windows 365 měla být velkou událostí, zejména v oblasti bezpečnosti firem. Zdá se ale, že je zde jeden velký problém.

Microsoft uvolnil novou cloudovou službu Windows 365, jejímž prostřednictvím nabídl firmám možnost pronájmu virtuálních PC včetně operačního systému, potřebných programů a zdrojů. Díky cloudovému řešení by pracovní prostředí mělo být bezpečné. Alespoň to tak Microsoft sliboval.

Služba se řídí zásadami "Zero-Trust-Princip", tedy nulové důvěry. Mezi programátory je to opatření pro zachování maximální bezpečnosti, které v podstatě zakazuje jakýkoliv přístup, pokud není nutný a ověřený.

Bezpečnostní expert objevil zjevné zranitelnosti

| Zdroj: Twitter/Benjamin Delpy (@gentilkiwi)

Jednomu z odborníků na kybernetickou bezpečnost se nyní zřejmě podařilo zjistit přihlašovací údaje k účtu Windows 365 v Azure. Píše o tom Bleeping Computer ve svém příspěvku s názvem "Windows 365 exposes Microsoft Azure credentials in plaintext". Zde spolu s expertem na cyber security, Benjaminem Delpym, vysvětluje, jak je to možné. Delpy je známý svým projektem Mimikatz, který výzkumníkům v oblasti počítačové bezpečnosti umožňuje testovat různé formy zranitelností, které umožňují krádeže pověření a identit.

Delpymu se podařilo pomocí upravené verze Mimikatzu zjistit přihlašovací údaje do služby Azure v systému Windows 365. Podle informací systém Windows 365 zveřejňuje tyto údaje v prostém textu. Delpy byl mezi prvními testery Windows 365 a získal jeden ze zkušebních účtů na dva měsíce. Microsoft vyzval firmy k účasti na testování bezplatné zkušební verze, ale po náporu zájemců o zkušební přístup nabídku ukončil.

Expert dokázal přelstít proces terminálové služby

Podle sdělených detailů umožňovala objevená zranitelnost číst přihlašovací údaje uživatelů, přihlášených k terminálovému serveru, v prostém textu. V běžných případech jsou přihlašovací údaje šifrovány, ale Delpymu se podařilo terminálový proces obelstít tak, že samotný proces data dešifroval a dal k dispozici v čistém textu.

Tuto zranitelnost může zneužít třetí strana, pokud obejde nástroj Microsoft Defender například prostřednictvím podvodného e-mailu se škodlivou přílohou. Útočník může získat práva správce a poté si snadno zobrazit přihlašovací údaje v čitelné podobě.