Augusztus 2-án indította el a Microsoft a Windows 365 nevű felhőalapú szolgáltatást, amely lehetővé teszi, hogy a felhasználók felhőalapú számítógépeket béreljenek, és távoli asztali klienseken vagy böngészőn keresztül férjenek hozzá. Az elnevezésben szereplő 365-ös szám már jelzi: a szolgáltatás az év minden napján, éjjel-nappal üzemel, és bármikor csatlakozni lehet rá.

A Microsoft – korlátozott számban – két hónap ingyenes kipróbálást is felajánlott, és ezen kezdte el tesztelni Benjamin Delphy kutató, hogy mennyire biztonságos ez a rendszer. A Mimikatz nevű nyílt forráskódú eszközt vetette be, amelyet arra használnak, hogy teszteljék a hitelesítő adatokkal kapcsolatos biztonsági problémákat.

A kutató „sikerrel” járt, ugyanis képes volt a memóriából kiolvasni a jelszavakat, és visszafejteni ezeket. A hitelesítő adatok pedig felhasználhatók a hálózat egyéb erőforrásainak eléréséhez, sőt zsarolóvírusok terjesztéséhez is.

Would you like to try to dump your #Windows365 Azure passwords in the Web Interface too?

A new #mimikatz ������release is here to test!
(Remote Desktop client still work, of course!)

> https://t.co/Wzb5GAfWfd

cc: @awakecoding @RyMangan pic.twitter.com/hdRvVT9BtG

— ������ Benjamin Delpy (@gentilkiwi) August 7, 2021

A szakember azt is megjegyezte, hogy a Windows Hello, a Smartcards és a kétlépcsős hitelesítés segítenek egy ilyen hozzáférést megakadályozni, azonban a Windows 365-ben ezek nem állnak rendelkezésre, a szolgáltatás a felhasználónevekre és a jelszavakra támaszkodik, ezért nem könnyű megvédeni.

Mivel a Windows 365-tel a Microsoft elsősorban a vállalatokat célozza meg, valószínűleg hozzáadja majd az említett biztonsági szolgáltatásokat, de egyelőre nem árt tisztában lenni ezzel a problémával.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.