Windows 365 から Microsoft Azure クレデンシャル情報を平文でダンプ

Windows 365 exposes Microsoft Azure credentials in plaintext

2021/08/13 BleepingComputer — ありセキュリティ研究者が、Mimikatz を使って、Microsoft の最新 Windows 365 Cloud PC Service から、ユーザーの Microsoft Azure 認証情報を平分でダンプする方法を発見した。Mimikatz とは、Benjamin Delpy が作成したオープンソースのサイバー・セキュリティ・プロジェクトであり、認証情報の窃取や成りすましの脆弱性をテストするために、研究者たちに利用されるソフトウエアである。このプロジェクトの GitHub ページには、「メモリから平文のパスワードや、ハッシュ、PIN コード、Kerberos チケットを抽出することはよく知られている。

さらに Mimikatz は、pass-the-hash や pass-the-ticket を実行し、ゴールデン・チケットの作成および、証明書と秘密鍵の操作なども実行できる。多分コーヒーを淹れられる?」と説明されている。もちろん Mimikatz は、研究者向けに作成されたものだが、各種のモジュールがパワフルなため、脅威アクターにも頻繁に利用されてしまう。たとえば、LSASS プロセスのメモリから平文パスワードをダンプすることや、NTLM ハッシュを使用して pass-the-hash 攻撃を仕掛けることもできる。このツールを悪用することで、脅威アクターは、Windows ドメイン・コントローラを制御するまで、ネットワーク全体を横に移動し、Windows ドメインを乗っ取ることも可能になる。

Windows 365 の認証情報が平文で流出する可能性がある

8月2日に Microsoft は、クラウドベースのデスクトップ・サービス Windows 365 をローンチした。このサービスでは、ユーザーは Cloud PC をレンタルし、リモートデスクトップや Web ブラウザを使ってアクセスする。Microsoft は、この仮想 PC の無料トライアルを提供したが、フリーで2ヶ月間を手に入れようとする人々が殺到したため、すぐに満杯になった。Delpy は BleepingComputer の取材に対して、自分はフリーの体験版を入手できた幸運な一人であり、新サービスのセキュリティをテストし始めたと語った。そして彼は、この新しいサービスにおいて、悪意のプログラムにより、ログインしているユーザーの Microsoft Azure の、電子メールアドレスとパスワードを平分でダンプできることを発見した。クレデンシャル・ダンプに関しては、彼が 2021年5月に発見した脆弱性を利用して行い、Terminal Server にログインしているユーザーの、平文クレデンシャルをダンプできたという。ユーザーの Terminal Server の認証情報は、メモリに保存されときに暗号化されるが、Delpy は Terminal Service のプロセスを騙して、復号化することが可能だったという。彼は、「さらに都合の良いことに、Terminal Service プロセスに復号化を依頼できた (技術的には、Terminal Service プロセスはカーネルに対して復号化を依頼する)。つまり、Terminal Service サーバーだけが、このような復号化を要求できるので、私は Terminal Service を騙して、認証情報を復号化する必要があった:)」と語っている。BleepingComputer でも、このテクニックを試すために、Windows 365 Cloud PC の試用版を使ってみた。Web ブラウザで接続し、管理者権限で Mimikatz を起動した後に、「ts::logonpasswords」コマンドを入力すると、mimikatz はログイン認証情報を平文で、素早くダンプした。

それで、何が大変なの?

Mimikatz を実行するには、Administrator である必要があるため、すでに Azure アカウントの認証情報を持っている場合は、何が大変なのかと思いかもしれない。
上記のシナリオでは、その通りであり、大したことではない。しかし、脅威アクターが、あなたの Windows PC デバイスにアクセスして、コマンドを実行した場合にはどうなるだろうか?たとえば、Microsoft Defender を潜り抜けた Windows 365 Cloud PC で、悪意の添付ファイルが添付されたフィッシング・メールを開いたとする。そして、文書内の悪意のマクロを有効にすると、リモート・アクセス・プログラムがインストールされ、脅威アクターが Cloud PC にアクセスできるようになる。そこから、PrintNightmare のような脆弱性を悪用して管理者権限を獲得し、Mimikatz を使って平文の認証情報をダンプするのは容易なことだ。脅威アクターは、これらの認証情報を利用して、他の Microsoft サービスや企業の内部ネットワークを介して、横へと広がっていく。Delpy は、「通常のセッションから、パスワードをダンプするのと全く同じだ。TS セッションでパスワードをダンプできれば、それを他のシステムでも使用し、より多くの権限やデータなどを操作できる。つまり、システム内での横への移動や、特権的なデータへのアクセスに悪用できる。特に、他のユーザーもログインしている VDI システムで有効だ」と述べている。この手口を防御するには、2FA / SmartCard / Windows Hello / Windows Defender Remote Credential Guard などが推奨されるという。しかし、これらのセキュリティ機能は、現在のところ、Windows 365 では利用できない。Windows 365 は企業向けに開発されているため、将来的には、これらの Microsoft セキュリティ機能が追加されると思うが、現時点では、この手口に注意することが重要である。

なかなか、すごい話ですが、対策を講じる時間はあるのですから、問題化は防げると信じたいですね。それにしても、この mimikatz とか、バグにより脅威アクターのサーバーを潰してしまう Cobalt Strike とか、研究者たちが作るツールの破壊力は凄まじいです。残念なことに、こうしたツールがダークサイドに流出するのは、なかなか止められないので、とにかく先回りして、見つけられた穴を塞ぐしかありませんね。頑張れ Microsoft です!

%d bloggers like this: