Çin Halk Cumhuriyeti'ne bağlı bir siber casusluk grubu olan Storm-0558'in, Mayıs ve Haziran 2023 arasında 22 kuruluşun ve 500'den fazla kişinin Microsoft Exchange posta kutularının güvenliğini ihlal ettiği bildirildi.
Bu, 2016 yılında Microsoft tarafından tutulan bir Anahtar tarafından imzalanan hesapların kimlik doğrulama belirteçleri kullanılarak yapıldı.
Bu anahtar uzak sistemlerde güvenli kimlik doğrulama için kullanıldı. Ancak bu anahtar, tehdit aktörünün elindeydi ve bu anahtarın etki alanındaki herhangi bir bilgiye veya sisteme erişim için çeşitli izinler sağlıyordu.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide
Ek olarak, tek bir anahtar muazzam bir güce sahip olabilir ve bu, Microsoft'un kimlik doğrulama sistemindeki bir kusurla birleştiğinde, tehdit aktörünün dünyanın herhangi bir yerindeki herhangi bir Exchange çevrimiçi hesabına tam erişim kazanmasıyla sonuçlandı.
Üstelik Microsoft, Storm-0558'in bu anahtarı nasıl ele geçirdiğini hala araştırıyor.
Bu saldırı kullanılarak ele geçirilen hesaplar arasında şunlar yer alıyor:
- Ulusal güvenlik konularında çalışan üst düzey ABD hükümeti temsilcileri
- Ticaret Bakanı Gina Raimondo'nun e-posta hesapları,
- Amerika Birleşik Devletleri'nin Çin Halk Cumhuriyeti Büyükelçisi R. Nicholas Burns ve
- Kongre üyesi Don Bacon.
Microsoft'un Exchange Sunucu Hack'i
CSRB raporlarına göre, tehdit aktörü bu hassas e-posta hesaplarına erişim sağladığı süre boyunca Dışişleri Bakanlığı'ndan 60.000'den fazla e-posta indirdi.
Üstelik bu izinsiz girişin ilk kurbanı, 15 Haziran 2023'te SOC ekibinin posta sistemlerine erişimde anormallikler tespit ettiği Dışişleri Bakanlığı oldu.
Bunu takiben ertesi gün, Microsoft ile iletişime geçmeleri için çeşitli güvenlik uyarıları geldi.
Microsoft'tan 10 Günlük Soruşturmalar
Microsoft, önümüzdeki 10 gün boyunca bir soruşturma başlattı ve tehdit aktörü Storm-0558'in, Outlook Web Access (OWA) aracılığıyla belirli e-postaların eline geçtiğini doğruladı.
Ayrıca Microsoft, saldırıdan etkilenen 21 farklı kuruluş ve 500'den fazla kullanıcıyı da tespit etti. Etki ABD hükümet kurumları tarafından da fark edildi.
Buna ek olarak Microsoft, tehdit aktörünün, Storm-0558'in geçerli bir kullanıcı olarak kimliğini doğrulayan belirteçleri kullanarak e-postalara doğrudan erişmek için OWA'yı kullandığını da tespit etti.
Bu aynı zamanda bu tür belirteçlerin yalnızca Microsoft'un kimlik sistemleriyle ilişkilendirilmesi gerektiğini de belirtti ancak ne yazık ki ilişkilendirilmedi.
Ayrıca tehdit aktörünün kullandığı tokenların, 2016 yılına dayanan bir Microsoft Hizmet Hesabı (MSA) şifreleme anahtarına sahip dijital imzaları vardı.
Bu anahtarın başlangıçta Mart 2021'e kadar kullanımdan kaldırılması ve saldırıya ilişkin daha fazla bilgi sağlanması planlanmıştı.
Açığa Çıkan Nokta
Microsoft başlangıçta tehdit aktörünün, etkilenen kişilerin bu Microsoft Exchange çevrimiçi hesaplarına erişmek için sahte jetonlar hazırladığı sonucuna vardı.
Ancak bazı hipotezler geliştirdikten sonra, Microsoft Exchange tarafından kullanılan belirteç doğrulama oturum açma işleminde, hesapların tüketici anahtarını reddedecek bir kodu olmaması durumunda herhangi bir tüketici anahtarının kurumsal Exchange hesaplarına erişmesine izin verebilecek bir kusur buldular.
Ancak tehdit aktörünün 2016 MSA anahtarını ele geçirip hesapları ele geçirmek için kullandığını kanıtlayacak kadar açık değildi.
O zamana kadar Microsoft, aynı tehdit aktörünün 2021'de gerçekleştirdiği ve Azure hizmet yönetimi ve Kimlikle ilgili yönetim hakkında bilgi ararken SharePoint'te depolanan çeşitli belgelere eriştikleri bir saldırıyı hatırlattı.
Araştırmaların son aşamaları bazı önemli şeyleri ortaya çıkardı: Microsoft, kurumsal sistemlerde manuel anahtar yönlendirme mekanizmaları kullanıyordu ve 2021 yılında bu faaliyetlerden birinde büyük bir kesintiyle karşılaştıktan sonra rotasyon mekanizmasını tamamen durdurmuştu.
Bu, tehdit aktörünün tüketici e-posta sistemlerine erişmek amacıyla kimlik doğrulama belirteçleri oluşturmak için bu tüketici anahtarlarını kullanmasına olanak tanıdı.
Ancak bu sorunla birlikte önceden bilinmeyen başka bir kusur da eklendi ve potansiyel olarak hassas e-posta hesapları ve kuruluşları tehlikeye girdi.