Le chercheur en sécurité Benjamin Delpy a découvert une vulnérabilité dans Windows 365 qui peut exposer les informations d'identification Azure de l'utilisateur en texte brut.
Windows 365 existe depuis moins de deux semaines, mais les chercheurs découvrent déjà des failles de sécurité dans le service. Le chercheur Benjamin Delpy, créateur du projet mimikatz, a découvert qu'il est possible d'exposer les informations d'identification Azure d'un utilisateur en texte brut lors de l'utilisation de Windows 365. L'exploitation de la vulnérabilité nécessite des privilèges administratifs, mais elle reste une fenêtre de menace.
Comme BipOrdinateur explique, l'exploit s'appuie sur une vulnérabilité dans la connexion Microsoft Remote Desktop, que Delpy découvert initialement en mai. Lorsque vous créez un PC cloud, il s'agit essentiellement d'une machine virtuelle installée dans le cloud et à laquelle vous accédez via une connexion Bureau à distance. Cette vulnérabilité permettait aux utilisateurs d'exposer les informations d'identification du Bureau à distance utilisées sur un client à l'aide d'un outil tel que mimikatz.
L'accès à un PC cloud avec Windows 365 utilise également le protocole Bureau à distance, donc la vulnérabilité fonctionne de la même manière ici. Étant donné que Windows 365 est lié à Azure, les informations d'identification exposées cette fois concernent votre compte Azure. De plus, cela fonctionne même si vous accédez à votre PC cloud Windows 365 via le navigateur Web, car il utilise toujours le protocole de bureau à distance.
Cependant, comme nous l'avons mentionné, cela nécessite également un accès au PC et des privilèges administratifs. Mais il existe d’autres vulnérabilités qui peuvent être exploitées pour accéder à un système. Une pièce jointe malveillante peut accorder à un attaquant l'accès à votre PC, et autres vulnérabilités peut être exploité pour obtenir des privilèges administratifs. Le fait est qu'obtenir vos informations d'identification ici ne se limite pas à accéder à votre propre PC, cela pourrait potentiellement permettre les attaquants se propagent à d'autres services Microsoft de votre organisation, affectant finalement l'ensemble des systèmes internes de l'entreprise. réseau. Cela pourrait potentiellement exposer des centaines d’utilisateurs, même si un seul d’entre eux ouvre la fenêtre d’attaque initiale.
En règle générale, une façon d’éviter ce type de menace consiste à utiliser des alternatives aux mots de passe traditionnels. Windows Hello ou l'authentification à deux facteurs peuvent généralement empêcher cela, mais Windows 365 ne prend pas encore en charge ces fonctionnalités. Vraisemblablement, Microsoft travaille sur un moyen d'activer ces fonctionnalités pour les PC cloud, mais pour l'instant, il est préférable d'être très prudent si vous utilisez Windows 365.