Anzeige
Anzeige
News
Artikel merken

Sicherheitsgau bei Windows 365: Anmeldedaten lassen sich im Klartext auslesen

Der Sicherheitsforscher Benjamin Delpy hat einen Weg gefunden, die unverschlüsselten Anmeldedaten von Benutzern des gleichen Terminalservers über Microsofts neuen Cloud-PC auszulesen.

2 Min. Lesezeit
Anzeige
Anzeige
Mit Windows 365 löst Microsoft sein OS von spezifischer Hardware. (Bild: Microsoft)

Das neue Microsoft-Angebot Windows 365 bietet einen kostenpflichtigen Cloud-PC, der per Remote Desktop oder Webbrowser bedient werden kann – also auf einem Terminalserver läuft.

Cloud-PC ist ein per Web erreichbarer Slot auf einem Terminal-Server

Anzeige
Anzeige

Der Cloud-PC ist ein interessantes Angebot etwa für Personen, die überall arbeitsbereit bleiben wollen. So könnte der Cloud-PC etwa zu Hause über ein Tablet oder einen leistungsschwächeren Laptop und im Büro über einen Desktop verwendet werden. Der Bearbeitungsstand, die App-Umgebung, überhaupt alle Parameter der Arbeitsumgebung wären auf allen Endgeräten gleich.

Zum Start Anfang August hatte Microsoft eigentlich eine kostenlose zweimonatige Testphase eingeführt, die aber nach wenigen Stunden bereits wieder kassieren müssen. Das Interesse hatte Microsofts Erwartungen deutlich überstiegen. Einer der verhältnismäßig wenigen Glücklichen, denen es gelungen war, das Testangebot zu sichern, bevor es wieder verschwunden war, ist Benjamin Delpy.

Anzeige
Anzeige

Mimikatz bittet Server um freundliche Hilfe bei der Entschlüsselung

Delpy ist der Entwickler des Open-Source-Cybersicherheitsprojekts Mimikatz. Mimikatz testet Computer auf Schwachstellen im Umgang mit der Benutzersicherheit. Laut seiner GitHub-Seite kann Mimikatz Passwörter, Hashes, Pin-Codes und Kerberos-Tickets im Klartext aus dem Speicher extrahieren und „eventuell sogar Kaffee kochen“. Das Tool erlaubt es, Passwörter zu aggregieren und sich mit diesen Zugangsdaten dann seitwärts durch ein Netzwerk zu bewegen. Dahinter steht die Hoffnung, auf einen Netzteilnehmer zu stoßen, auf dem die erbeuteten Zugangsdaten höhere Privilegien haben – idealerweise den Domänen-Controller.

Anzeige
Anzeige

Eben dieses Mimikatz-Tool ließ Delpy nun auf den Cloud-PC los. Dazu setzte er auf eine von ihm im Mai 2021 entdeckte Schwachstelle, die es ihm ermöglicht, die Anmeldedaten von Benutzern, die bei einem Terminalserver angemeldet sind, im Klartext abzurufen. Zwar seien die Anmeldedaten eines Benutzers auf einem Terminal-Server verschlüsselt im Speicher abgelegt, es gäbe jedoch die Möglichkeit, den Terminaldienstprozess per Mimikatz freundlich darum zu bitten, die Anmeldedaten zu entschlüsseln. Dazu habe es zwar eines kleinen Tricks bedurft, am Ende habe der Prozess jedoch die gewünschte Dienstleistung erbracht, so Delpy gegenüber Bleeping Computer.

Das ist das Bedrohungsszenario

Ein Bedrohungsszenario ergibt sich bei dieser Vorgehensweise nur unter Umständen. Nämlich dann, wenn nicht der berechtigte Cloud-PC-Nutzer Mimikatz verwendet. Dazu müsste er natürlich erst einmal unbemerkten Administratorzugang erlangen. Das wäre über die gängigen Methoden böswilliger Akteure aber durchaus denkbar, etwa per Phishing-Mail oder manipulierte Websites, über die Trojaner installiert werden könnten.

Anzeige
Anzeige

„Es ist genau wie das Auslesen von Passwörtern aus einer normalen Sitzung. Wenn ich Ihr Kennwort in Terminal-Server-Sitzungen ausspionieren kann, kann ich es auf anderen Systemen verwenden, wo Sie mehr Rechte, Daten und so weiter haben könnten“, erklärte Delpy. Dabei sei es „üblich, dass man sich seitwärts bewegt und Zugang zu privilegierteren Daten auf anderen Systemen erhält“.

Schützen könnte man sich typischerweise mittels der Zweifaktor-Authentifizierung (2FA), Smartcards, Windows Hello oder dem Windows-Defender-Remote-Credential-Guard. All diese Sicherheitsfunktionen seien jedoch derzeit in Windows 365 nicht verfügbar. Es ist nun davon auszugehen, dass sich Microsoft nicht mehr allzu viel Zeit mit der Implementierung lassen wird.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige