Microsoft ha presentato Windows 365 come una soluzione cloud sicura per eseguire sistemi operativi come Windows 10 e Windows 11 con la possibilità di gestirli da qualunque dispositivo e riprendere il lavoro laddove lo si era lasciato.
Windows 365 ha riscosso subito un successo senza confini tanto che Microsoft è stata costretta a ritirare temporaneamente l’offerta della prova a tempo gratuita offerta agli utenti.
Visto il costo per adesso Windows 365 è una prerogativa delle sole aziende ma non è escluso che l’azienda di Redmond abbia intenzione in futuro di mettere lo strumento anche nelle mani degli utenti normali un po’ come già fatto con Microsoft 365.
L’autore del noto strumento Mimikatz che permette di recuperare password e credenziali di accesso in Windows, Benjamin Delpy, si è accorto che il servizio Windows 365 conserva in memoria e in chiaro le credenziali per l’accesso agli account Azure.
Delpy ha quindi aggiornato il suo Mimikatz che adesso riesce a estrapolare dalla memoria le credenziali per usare le varie macchine Windows 365.
Sebbene Mimikatz sia stato creato per i ricercatori, il tool è comunemente usato anche dai malware writer per acquisire le password in chiaro dalla memoria del processo LSASS o eseguire attacchi pass-the-hash utilizzando gli hash NTLM.
Utilizzando le informazioni raccolte i criminali informatici possono attivare movimenti laterali in una rete altrui e, ad esempio, assumere il pieno controllo sui controller di dominio Windows.
Dopo l’avvio di Windows 365 da browser web e il lancio di Mimikatz con i privilegi amministrativi il semplice comando ts::logonpasswords
permette di recuperare in chiaro le password di Terminal Server, comprese quelle usate per gli account Azure.
È vero che l’attacco mostrato da Delpy necessita dei privilegi di amministratore per andare a segno ma ci sono molteplici lacune in Windows che un processo malevolo o un utente malintenzionato possono sfruttare per eseguire codice con i privilegi più elevati (da ultimo anche la falla nota con il nome di PrintNightmare che riguarda lo spooler della stampante, non ancora completamente risolta).
Delpy ha dichiarato che per proteggersi da questo tipo di attacchi sarebbe opportuno attivare l’autenticazione a due fattori, usare smart card, Windows Hello e Windows Defender Remote Credential Guard ma nessuna di queste caratteristiche di sicurezza è attualmente disponibile in Windows 365.
E proprio perché Windows 365 è orientato alle imprese Microsoft probabilmente aggiungerà una serie di funzionalità di protezione. Per il momento è però bene essere consapevoli di questa tecnica di aggressione.