Microsoft, çalışanlarından biri tarafından yanlışlıkla ifşa edilen “aşırı müsamahakâr” bir paylaşılan erişim imzası (SAS) belirtecinin neden olduğu büyük bir veri sızıntısını temizlemek zorunda kaldıktan sonra önemli bir ders aldı.
Olay, Haziran 2023’te bir Microsoft araştırmacısının açık kaynaklı bir yapay zeka (AI) öğrenme modeline katkıda bulunurken genel GitHub deposundaki bir Azure Blob mağazasının URL’sini paylaşmasıyla meydana geldi.
Ancak URL, bulut güvenliği uzmanı Wiz.io’daki analistler tarafından bulunan dahili depolama hesabına ait SAS belirtecini içeriyordu.
Tokenı kullanarak, ele geçirilen tokenın aşırı ayrıcalıkları sayesinde açık kaynak verilerden çok daha fazlasını bulabilecekleri depolama hesabına erişebildiler.
Belirtecin, hassas kişisel bilgiler, kimlik bilgileri, gizli anahtarlar ve 30.000 dahili Teams mesajı içeren Microsoft çalışanlarının iş istasyonlarının yedekleri de dahil olmak üzere 38 TB veriyi barındıran depolama hesabının tamamında izin verecek şekilde yapılandırıldığı ortaya çıktı.
Wiz ekibi ve Microsoft, sorunun daha fazla büyümesini önlemek için birlikte çalıştılar ve olayla ilgili bilgileri koordineli bir güvenlik açığı açıklama (CVD) raporunda ortaklaşa yayınladılar.
Microsoft Güvenlik Yanıt Merkezi (MSRC) ekibi, ihlalin kapsamının çok şükür sınırlı olduğunu söyledi. “Hiçbir müşteri verisi açığa çıkmadı ve bu sorun nedeniyle başka hiçbir dahili hizmet riske atılmadı” dediler. “Bu soruna yanıt olarak müşterinin herhangi bir eylemine gerek yoktur. Müşterilerimizi bilgilendirmek ve gelecekte benzer olaylardan kaçınmalarına yardımcı olmak için öğrendiklerimizi ve en iyi uygulamaları paylaşıyoruz.”
SAS belirteçleriyle ilgili sorun
Wiz.io’dan Hillai Ben-Sasson ve Ronny Greenberg’in açıkladığı gibi SAS tokenleri biraz sorunlu. Erişimi kısıtlamak ve belirli istemcilerin belirli bir Azure Depolama kaynağına bağlanmasına izin vermek için tasarlanmışlardır, ancak bu örnekte durum böyle olmadığı halde dikkatli bir şekilde yönetilmeleri gerektiği anlamına gelen doğal güvensizlikler içerirler.
Diğer şeylerin yanı sıra, erişim seviyeleri de kullanıcı tarafından kolaylıkla özelleştirilebilir ve teorik olarak süresi hiç dolmayan bir token oluşturulmasına olanak tanıyan son kullanma süresi de kullanıcı tarafından özelleştirilebilir (ele geçirilen token aslında 2051’e kadar geçerliydi, yani 28 yıl). şu andan itibaren).
Ek olarak, deneyimli kullanıcıların SAS tokenlerinin üzerinde sahip olması nedeniyle, yöneticilerin, süresi asla dolmayacak, son derece hoşgörülü bir tokenın dolaşımda olduğunu bilmesi çok zor olabilir ve tokenı iptal etmek de kolay değildir; bunu yapmak için yöneticinin ihtiyacı vardır. Tokenı imzalayan hesap anahtarını döndürmek, böylece aynı anahtar tarafından imzalanan diğer tokenleri işe yaramaz hale getirmek.
Ben-Sasson ve Greenberg, tüm bunların yanı sıra burada olduğu gibi kazara açığa çıkma riskinin de bir araya gelerek SAS tokenlerini “güvenliği ihlal edilmiş depolama hesaplarında kalıcılığı sürdürmek isteyen saldırganlar için etkili bir araç” haline getirdiğini söyledi.
“Hesap SAS tokenleri üzerinde güvenlik ve yönetim eksikliği nedeniyle bunların hesap anahtarının kendisi kadar hassas olduğu düşünülmeli. Bu nedenle, harici paylaşım için SAS hesabını kullanmaktan kaçınmanız önemle tavsiye edilir. Token oluşturma hataları kolaylıkla gözden kaçabilir ve hassas verileri açığa çıkarabilir.
“Yakın zamanda yayınlanan bir Microsoft raporu, saldırganların arka kapı olarak ayrıcalıklı SAS belirteçlerini yayınlamak için hizmetin izleme kapasitesinin eksikliğinden yararlandığını gösteriyor” dediler. “Tokenin ihraç edildiği hiçbir yerde belgelenmediğinden, verildiğini bilmenin ve buna karşı hareket etmenin bir yolu yok.”
Promon’un kıdemli teknik direktörü Andrew Whaley, olayın en iyi niyetli projelerin bile kazara sonuçlanabileceğini gösterdiğini söyledi.
“Paylaşılan erişim imzaları, azami dikkatle yönetilmediği takdirde önemli bir siber güvenlik riski oluşturur” dedi. “İş birliği ve veri paylaşımı açısından inkar edilemez derecede değerli bir araç olmalarına rağmen, yanlış yapılandırıldıklarında veya yanlış kullanıldıklarında iki ucu keskin bir kılıca dönüşebilirler. Aşırı hoşgörülü SAS tokenleri düzenlendiğinde veya istemeden açığa çıktıklarında, bu, ön kapınızın anahtarlarını bir hırsıza isteyerek teslim etmeye benzer.
Whaley, “Microsoft, daha sıkı erişim kontrolleri uygulasa, düzenli olarak denetlense ve kullanılmayan tokenleri iptal etse ve çalışanlarına bu kimlik bilgilerinin korunmasının önemi konusunda kapsamlı bir eğitim verseydi bu ihlali pekala önleyebilirdi” dedi. “Ek olarak, aşırı izin veren SAS tokenlerini tespit etmek için sürekli izleme ve otomatik araçlar da bu gafın önüne geçebilirdi.”
Microsoft, Azure Depolama veya SAS belirteci özelliğinde herhangi bir güvenlik sorunu veya güvenlik açığının bulunmadığını söyledi ancak belirteçlerin her zaman düzgün bir şekilde oluşturulup yönetilmesi gerektiğini belirtti. Olayın gerçekleşmesinden bu yana Microsoft, SAS belirteci özelliğini güçlendiriyor ve hizmeti daha da geliştirmek için değerlendirmeye devam ediyor.
MSRC ekibi, “Herhangi bir sır gibi, SAS tokenlerinin de uygun şekilde oluşturulup işlenmesi gerekiyor” dedi. “Her zaman olduğu gibi, istenmeyen erişim veya kötüye kullanım riskini en aza indirmek için müşterilerimizi SAS tokenlarını kullanırken en iyi uygulamalarımızı takip etmeye şiddetle teşvik ediyoruz.
“Microsoft ayrıca, bu tür aşırı provizyonlu SAS URL’lerini proaktif olarak tespit etmek ve varsayılan olarak güvenli duruşumuzu desteklemek için algılama ve tarama araç setimizde sürekli iyileştirmeler yapıyor.
“Wiz.io tarafından bildirilen bulguları araştırma fırsatını takdir ediyoruz. Tüm araştırmacıları, Koordineli Güvenlik Açığı Açıklaması kapsamında tedarikçilerle çalışmaya ve güvenlik araştırması yaparken müşteri verilerinin etkilenmesini önlemek için sızma testi katılım kurallarına uymaya teşvik ediyoruz.”
Vurgulanan sorunlar
Wiz.io ekibi, olayın iki büyük riski vurguladığını söyledi.
Birincisi, verilerin aşırı paylaşımı; araştırmacıların çoğunu toplayıp paylaştığı için, özellikle de bu durumda bir yapay zeka modeli üzerinde çalışıyorlarsa, kazara bir ihlale neden olma riskleri yüksektir. Bu nedenle, güvenlik ekiplerinin yapay zeka veri kümelerinin harici paylaşımına yönelik net yönergeler tanımlaması kritik hale geliyor ve hem güvenlik ekipleri hem de araştırma ve geliştirme ekipleri bu konuda işbirliği yapmalıdır.
İkincisi, tedarik zinciri saldırısı riski vardır. Bu örnekte token, araştırmacının üzerinde çalıştığı yapay zeka modellerini içeren depolama hesabına yazma erişimi sağladı; dolayısıyla kötü niyetli bir aktör hızlı bir şekilde çizime başlamış olsaydı, model dosyalarına kolayca kötü amaçlı kod enjekte edebilir ve bu da saldırılara yol açabilirdi. diğer araştırmacıların modele GitHub aracılığıyla erişmesi ve daha da aşağısında, kodun yaygın kamu kullanımına girmesi durumunda anlatılmamış hasarlar oluşması. Ekip, bu nedenle, güvenlik ekiplerinin, uzaktan kod yürütme amacıyla kullanılmamaları için yapay zeka modellerini dış kaynaklardan incelemek ve temizlemek için adımlar atması gerektiğini söyledi.