Mimikatz und PrintNighmare können Angriffe auf Cloud-PC ermöglichen Windows 365 zeigt Kennwörter von Azure-AD im Klartext an

Autor / Redakteur: Thomas Joos / Peter Schmitz

Sicherheitsforscher haben herausgefunden, dass sich die Kennwörter von Azure-AD bei der Anmeldung an Windows 365 im Klartext auslesen lassen. Das sollten Verantwortliche beim Einsatz der neuen Cloud-Lösung von Microsoft berücksichtigen.

Firma zum Thema

Mit Mimikatz könnten Angreifer auf einem Windows 365-PC die Anmelde-E-Mail-Adresse und auch das Kennwort im Klartext auslesen.
Mit Mimikatz könnten Angreifer auf einem Windows 365-PC die Anmelde-E-Mail-Adresse und auch das Kennwort im Klartext auslesen.
(Bild: Nmedia – stock.adobe.com)

Das Hacker-Tool „Mimikatz“ wurde vom Entwickler Benjamin Delpy entwickelt, um aufzuzeigen, dass die Authentifizierungsprotokolle von Microsoft bei der Anmeldung an Windows angegriffen und Daten ausgelesen werden können. Anscheinend ist das Auslesen mit Mimikatz auch in Windows 365 möglich. Angreifer können dadurch an die Anmeldedaten von Anwender kommen, und diese auch für den Zugriff auf andere Dienste in der Microsoft-Cloud nutzen. Das Tool nutzt eine Schwachstelle in Windows aus, die seit Mai 2021 bekannt ist. Diese Lücke ist offensichtlich auch in Windows 10 vorhanden.

Hacker-Tool kann Anmeldedaten in Active Directory und auch in Windows 365 kompromittieren

Mimikatz wird sehr häufig von Angreifern auf Microsoft-Netzwerke verwendet, da mit dem Tool Anmeldedaten ausgelesen und auch Kerberos-Zertifikate gefälscht werden können. Mimikatz kann auch Kennwörter im Klartext auslesen, wenn der LSASS-Prozess bei der Anmeldung aktiv wird. Das ist auch bei Windows 365 der Fall.

Benjamin Delpy konnte auf seinem Windows 365-PC mit Mimikatz die Anmelde-E-Mail-Adresse und auch das Kennwort im Klartext auslesen. Der Zugriff auf den Cloud-PC erfolgt über das RDP-Protokoll. Entweder nutzen Anwender dazu den RDP-Client in Windows, oder greifen über den Webbrowser zu. Aber auch der Webbrowser nutzt für den Zugriff schlussendlich das RDP-Protokoll. Die Anmeldedaten speichert Windows natürlich verschlüsselt ab, sodass nicht jeder Angreifer sofort an diese Daten kommt. Mimikatz kann die Daten aber entschlüsseln und Angreifern anzeigen. Der Vorgang ist zwar nicht trivial und kann auch nicht von jedem Anwender ausgelesen werden, Fakt ist aber, dass Mimikatz die Daten auslesen kann.

Was kann die Auswirkung für diese Lücke sein?

Wenn ein Windows-PC oder ein anderes Gerät kompromittiert ist, kann ein Angreifer über Mimikatz die Daten von Anwendern auslesen, wenn sie auf Windows 365 zugreifen. Gleichzeitig hat der Angreifer anschließend Zugang zu allen anderen Diensten in Microsoft 365 und Microsoft 365, auf die ein Anwender mit diesen Anmeldedaten zugreifen kann.

Einfallstore für solche Angriffe können Webseiten oder Virenmails sein. Auch Word-Dokumente mit Makros können die Daten auslesen und den Angreifern zur Verfügung stellen. Diese Lücke lässt sich außerdem noch mit PrintNightmare kombinieren um Administratorzugriffe zu erhalten.

(ID:47582855)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist