İç Güvenlik Departmanı’nın Siber Güvenlik İnceleme Kurulu (CSRB), ABD devlet kurumları tarafından kullanılan Microsoft Exchange hesaplarının son zamanlarda Çin tarafından ele geçirilmesinin ardından bulut güvenlik uygulamalarının derinlemesine bir incelemesini yürütmeyi planladığını duyurdu.
CSRB, kritik olayların daha iyi anlaşılmasını sağlayan derinlemesine araştırmalar yapmak, temel nedenleri ayırt etmek ve siber güvenlik konusunda bilinçli tavsiyeler yayınlamak için oluşturulmuş, kamu ve özel sektör işbirliğidir.
Bu durumda CSRB, hükümet, endüstri ve bulut hizmeti sağlayıcılarının (CSP’ler) bulutta kimlik yönetimini ve kimlik doğrulamasını nasıl destekleyebileceğini ve tüm paydaşlar için eyleme geçirilebilir siber güvenlik önerileri geliştirebileceğini keşfedecek.
Bu tavsiyeler, hükümet sistemlerini ve hesaplarını korumak için hangi önlemlerin alınması gerektiğine karar verecek olan CISA’ya ve mevcut ABD yönetimine iletilecek.
İç Güvenlik Bakanı Alejandro Mayorkas, “Her türden kuruluş, Amerikan halkına hizmet sunmak için bulut bilişime giderek daha fazla güveniyor, bu da bu teknolojinin güvenlik açıklarını anlamamızı zorunlu kılıyor” dedi.
“Bulut güvenliği, e-ticaret platformlarımızdan iletişim araçlarımıza ve kritik altyapımıza kadar en kritik sistemlerimizden bazılarının belkemiğidir.”
Microsoft Exchange’in Storm-0558 hack’leri
Temmuz 2023’ün ortalarında Microsoft, ‘Storm-0558’ olarak izlenen Çinli bir bilgisayar korsanlığı grubunun, çalınan bir Microsoft tüketici imzalama anahtarından sahte kimlik doğrulama belirteçleri kullanarak ABD ve Batı Avrupa devlet kurumları dahil 25 kuruluşun e-posta hesaplarını ihlal ettiğini bildirdi.
Bu çalınan anahtarı kullanan Çinli tehdit aktörleri, yetkilendirme belirteçleri oluşturmak için Exchange Online’da (OWA) Outlook Web Access için GetAccessTokenForResource API işlevindeki sıfır gün güvenlik açığından yararlandı.
Bu belirteçler, tehdit aktörlerinin Azure hesaplarının kimliğine bürünmesine ve e-postaları izlemek ve çalmak için çok sayıda devlet kurumu ve kuruluşun e-posta hesaplarına erişmesine izin verdi.
Bu saldırılardan sonra Microsoft, Microsoft müşterilerine ücretsiz olarak yeterli günlük kaydı sağlamadığı için birçok eleştiriyle karşılaştı. Bunun yerine Microsft, müşterilerin bu saldırıları tespit etmeye yardımcı olabilecek günlük verilerini elde etmek için ek lisanslar satın almalarını istedi.
Microsoft, saldırıları algılamak için gereken önemli günlük verilerini belirlemek için CISA ile birlikte çalıştıktan sonra, bunu artık tüm Microsoft müşterilerine ücretsiz olarak sunduğunu duyurdu.
Microsoft, çalınan imzalama anahtarını iptal etti ve daha fazla kötüye kullanımı önlemek için API kusurunu düzeltti. Yine de olayla ilgili araştırmaları, bilgisayar korsanlarının anahtarı en başta nasıl ele geçirdiklerini tam olarak ortaya çıkaramadı.
İhlalin ilk keşfinden iki hafta sonra Wiz araştırmacıları, Storm-0558’in erişiminin Microsoft’un OpenID v2.0 ile çalışan Azure AD uygulamaları da dahil olmak üzere Microsoft’un daha önce bildirdiğinden çok daha geniş olduğunu bildirdi.
Wiz, Çinli bilgisayar korsanlarının güvenliği ihlal edilmiş anahtarı çeşitli Microsoft uygulamalarına ve Microsoft Hesabı kimlik doğrulamasını destekleyen herhangi bir müşteri uygulamasına erişmek için kullanmış olabileceklerini, bu nedenle olayın Exchange sunucularından e-postalara erişmek ve bunları sızdırmakla sınırlı kalmayabileceğini ortaya çıkardı.
İhlalin ciddi doğası, gereken kapsamlı soruşturma çabaları ve bugüne kadarki sonuçsuz bulgular göz önüne alındığında, ABD hükümeti CSRB’yi davanın kapsamlı bir incelemesini yürütmesi için görevlendirdi ve bunun kullanıcıları, savunucuları ve servis sağlayıcıları gelecekteki tehditlere karşı
CSRB’nin geçmiş incelemeleri, 2021’de Log4j yazılımındaki geniş çapta etkili güvenlik açıkları dizisini ve SIM değiştirme ve sosyal mühendislik gibi basit ama oldukça etkili teknikler kullanarak Fortune 500 şirketlerini ihlal etmede mükemmel olan bir bilgisayar korsanlığı grubu olan Lapsus$’ın faaliyetlerini içerir.