Microsoft, Storm-0558 Çinli bilgisayar korsanlarının, bir Microsoft mühendisinin kurumsal hesabını ele geçirdikten sonra Windows çökme dökümünden devlet e-posta hesaplarını ihlal etmek için kullanılan bir imzalama anahtarını çaldığını söylüyor.
Saldırganlar, çalınan MSA anahtarını kullanarak ABD Dışişleri ve Ticaret Bakanlıkları gibi ABD’deki devlet kurumları da dahil olmak üzere yaklaşık iki düzine kuruluşun Exchange Online ve Azure Active Directory (AD) hesaplarını ihlal etti.
GetAccessTokenForResourceAPI’de artık yamalanmış bir sıfır gün doğrulama sorunundan yararlandılar; bu sorun, hedeflenen kuruluşlardaki imzalı erişim belirteçlerini taklit etmelerine ve hesapların kimliğine bürünmelerine olanak sağladı.
Windows kilitlenme dökümü dalışı
Microsoft, Storm-0558’in saldırısını araştırırken, Nisan 2021’de tüketici imzalama sisteminin çökmesinin ardından MSA anahtarının bir kilitlenme dökümüne sızdırıldığını tespit etti.
Kilitlenme dökümünün imzalama anahtarlarını içermemesi gerekse de, bir yarış koşulu anahtarın eklenmesine yol açtı. Bu kilitlenme dökümü daha sonra şirketin yalıtılmış üretim ağından internete bağlı kurumsal hata ayıklama ortamına taşındı.
Tehdit aktörleri, Nisan 2021 kilitlenme dökümüne yanlışlıkla eklenen anahtarı içeren hata ayıklama ortamına erişimi olan bir Microsoft mühendisinin kurumsal hesabını başarıyla ele geçirdikten sonra anahtarı buldu.
Microsoft, bugün yaptığı açıklamada, “Günlük saklama politikaları nedeniyle, bu aktörün gerçekleştirdiği bu sızıntıya ilişkin spesifik kanıtları içeren günlüklerimiz yok, ancak bu, aktörün anahtarı elde ettiği en olası mekanizmaydı” dedi.
“Kimlik bilgisi tarama yöntemlerimiz bunun varlığını tespit edemedi (bu sorun düzeltildi).”
Microsoft bulut hizmetlerine yaygın erişim
Microsoft, Temmuz ayında olayı açıkladığında yalnızca Exchange Online ve Outlook’un etkilendiğini açıklarken, Wiz güvenlik araştırmacısı Shir Tamari daha sonra ele geçirilen Microsoft tüketici imzalama anahtarının Storm-0558’in Microsoft bulut hizmetlerine yaygın erişimini sağladığını söyledi.
Tamari’nin söylediği gibi anahtar, etkilenen herhangi bir müşteri veya bulut tabanlı Microsoft uygulamasındaki herhangi bir hesabın kimliğine bürünmek için kullanılabilir.
Tamari, “Buna Outlook, SharePoint, OneDrive ve Teams gibi yönetilen Microsoft uygulamalarının yanı sıra, ‘Microsoft ile Oturum Açma’ işlevine izin verenler de dahil olmak üzere Microsoft Hesabı kimlik doğrulamasını destekleyen müşteri uygulamaları da dahildir.” dedi.
Wiz CTO ve Kurucu Ortak Ami Luttwak da BleepingComputer’a “Microsoft dünyasındaki her şey erişim için Azure Active Directory kimlik doğrulama belirteçlerinden yararlanıyor” dedi.
“AAD imzalama anahtarına sahip bir saldırgan, hayal edebileceğiniz en güçlü saldırgandır çünkü neredeyse her uygulamaya, herhangi bir kullanıcı gibi erişebilir. Bu, siber zekanın ‘şekil değiştiren’ süper gücüdür.”
Redmond daha sonra BleepingComputer’a, ele geçirilen anahtarın yalnızca kişisel hesapları kabul eden ve doğrulama hatasının Çinli bilgisayar korsanları tarafından istismar edildiği uygulamaları hedeflemek için kullanılabileceğini söyledi.
Güvenlik ihlaline yanıt olarak Microsoft, tehdit aktörlerinin güvenliği ihlal edilmiş diğer anahtarlara erişmesini önlemek için tüm geçerli MSA imzalama anahtarlarını iptal etti. Bu adım aynı zamanda yeni erişim belirteçleri oluşturmaya yönelik ek çabaları da etkili bir şekilde engelledi. Ayrıca Microsoft, yakın zamanda oluşturulan erişim belirteçlerini kurumsal sistemleri tarafından kullanılan anahtar deposuna yeniden yerleştirdi.
Microsoft, çalınan imzalama anahtarını iptal ettikten sonra, aynı kimlik doğrulama jetonu sahteciliği tekniğini kullanan müşteri hesaplarına yetkisiz erişime ilişkin hiçbir ek kanıt bulamadı.
CISA’nın baskısıyla Microsoft, ağ savunucularının gelecekte benzer ihlal girişimlerini tespit etmelerine yardımcı olmak için bulut günlük verilerine erişimi ücretsiz olarak genişletmeyi de kabul etti.
Bundan önce, bu tür günlük kaydı yetenekleri yalnızca Purview Audit (Premium) günlük kaydı lisanslarına sahip müşteriler tarafından kullanılabiliyordu. Sonuç olarak Redmond, kuruluşların Storm-0558’in saldırılarını derhal tespit etmesini engellediği için önemli eleştirilerle karşılaştı.