Ancak, bu kadar geniş erişime izin veren bu kadar hassas bir anahtarın tam olarak nasıl çalınabileceği henüz bilinmiyor. WIRED, Microsoft ile temasa geçti, ancak şirket daha fazla yorum yapmaktan kaçındı.
Astrix güvenlik araştırmasını yöneten Tal Skverer’e göre, Microsoft’tan daha fazla ayrıntı yokluğunda, hırsızlığın nasıl meydana geldiğine dair bir teori, belirteç imzalama anahtarının aslında Microsoft’tan hiç çalınmadığıdır. yıl, Google’ın bulutunda bir belirteç güvenlik sorununu ortaya çıkardı. Outlook’un eski kurulumlarında hizmet, Microsoft’un bulutu yerine müşteriye ait bir sunucuda barındırılır ve yönetilir. Bu, bilgisayar korsanlarının anahtarı bir müşterinin ağındaki bu “şirket içi” kurulumlardan birinden çalmasına izin vermiş olabilir.
Skverer, daha sonra bilgisayar korsanlarının, saldırıdan etkilenen 25 kuruluşun tümü tarafından paylaşılan bir Outlook bulut örneğine erişim elde etmek için anahtarın kurumsal belirteçleri imzalamasına izin veren hatadan yararlanmış olabileceğini öne sürüyor. Skverer, “En iyi tahminim, bu kuruluşlardan birine ait tek bir sunucudan başladıkları ve bu doğrulama hatasını kötüye kullanarak buluta geçiş yaptıkları ve ardından, aynı bulut Outlook örneği.”
Ancak bu teori, bir kurumsal ağ içindeki bir Microsoft hizmeti için şirket içi bir sunucunun neden Microsoft’un tüketici hesabı belirteçlerini imzalama amaçlı olarak tanımladığı bir anahtarı kullandığını açıklamaz. Ayrıca, ABD devlet kurumları da dahil olmak üzere bu kadar çok kuruluşun neden tek bir Outlook bulut örneğini paylaştığını açıklamıyor.
Başka bir teori ve çok daha rahatsız edici olan, bilgisayar korsanları tarafından kullanılan simge imzalama anahtarının Microsoft’un kendi ağından çalındığı, şirketin bilgisayar korsanlarına yeni bir anahtar vermesi için kandırılarak elde edildiği ve hatta bir şekilde hatalardan yararlanılarak çoğaltıldığıdır. onu oluşturan kriptografik süreç. Microsoft’un açıkladığı belirteç doğrulama hatasıyla birlikte bu, herhangi bir Outlook bulut hesabı, tüketici veya işletme için belirteçleri imzalamak için kullanılmış olabileceği anlamına gelebilir; bu, Microsoft bulutunun büyük bir bölümü veya tümü için bir iskelet anahtarıdır.
Tanınmış web güvenliği araştırmacısı Robert “RSnake” Hansen, Microsoft’un “anahtar yönetim sistemleri”nin güvenliğini artırmayla ilgili gönderisindeki satırı okuduğunu ve Microsoft’un “sertifika yetkilisinin” – kriptografik olarak imzalama belirteçleri için anahtarlar üreten kendi sistemi olduğunu öne sürdüğünü söyledi. — bir şekilde Çinli casuslar tarafından hacklendi. Hansen, “Microsoft’un sertifika yetkilisinin altyapısında veya yapılandırmasında mevcut bir sertifikanın tehlikeye atılmasına veya yeni bir sertifikanın oluşturulmasına yol açan bir kusur olması çok muhtemeldir” diyor.
Bilgisayar korsanları, tüketici hesaplarında ve Microsoft’un belirteç doğrulama sorunu sayesinde kurumsal hesaplarda da geniş çapta belirteçler oluşturmak için kullanılabilecek bir imzalama anahtarını gerçekten çaldıysa, kurbanların sayısı Microsoft’un sahip olduğu 25 kuruluştan çok daha fazla olabilir. kamuya açıklanacak, diye uyarıyor Williams.
Kurumsal kurbanları belirlemek için Microsoft, hangi belirteçlerinin tüketici sınıfı bir anahtarla imzalanmış olduğuna bakabilir. Ancak bu anahtar, tüketici sınıfı belirteçler oluşturmak için de kullanılmış olabilir ve belirteçlerin beklenen anahtarla imzalanmış olabileceği göz önüne alındığında, bunu tespit etmek çok daha zor olabilir. “Tüketici tarafında, nereden bilebilirsin?” Williams soruyor. “Microsoft bunu tartışmadı ve bence beklememiz gereken çok daha fazla şeffaflık var.”
Microsoft’un en son Çin casusluğu ifşası, devlet destekli bilgisayar korsanlarının hedefleri ihlal etmek veya erişimlerini yaymak için belirteçleri ilk kez kullanmaları değil. Kötü şöhretli Solar Winds tedarik zinciri saldırısını gerçekleştiren Rus bilgisayar korsanları, hassas sistemlere erişimlerini sürdürmek ve genişletmek için ağdaki herhangi bir yerde kullanılabilecek kurbanların makinelerinden Microsoft Outlook jetonlarını da çaldı.
BT yöneticileri için, bu olaylar ve özellikle bu sonuncusu, buluta geçişin gerçek dünyadaki bazı ödünleşimlerini gösteriyor. Microsoft ve siber güvenlik endüstrisinin çoğu, güvenliği küçük şirketler yerine teknoloji devlerinin ellerine bırakmak için yıllardır bulut tabanlı sistemlere geçişi tavsiye ediyor. Ancak merkezi sistemlerin potansiyel olarak çok büyük sonuçlara yol açabilecek kendi güvenlik açıkları olabilir.
Williams, “Krallığın anahtarlarını Microsoft’a teslim ediyorsunuz” diyor. “Kuruluşunuz şu anda bu konuda rahat değilse, iyi seçenekleriniz yok demektir.”