Microsoft, Storm-0558 saldırganlarının ABD hükümet yetkililerine ait e-posta hesaplarına erişmek için gereken kimlik doğrulama belirteçlerini oluşturmak için kullandıkları Microsoft Hizmet Hesabı şifreleme anahtarını nasıl çalmayı başardıklarını hâlâ bilmiyor.
“Çalınan 2016 MSA anahtarı ile birlikte [a] CISA'nın Siber Güvenlik İnceleme Kurulu (CSRB) yakın zamanda yayınlanan bir raporda, token doğrulama sistemindeki kusurun, tehdit aktörünün esas olarak herhangi bir Exchange Online hesabına tam erişim elde etmesine izin verdiğini belirtti. 2023 Yazında Microsoft Exchange Çevrimiçi Saldırısının İncelenmesi.
“Microsoft, Storm-0558'in (çaldığı anahtar da dahil olmak üzere) tüketici imzalama anahtarlarının hem OWA tüketici hem de kurumsal Exchange Online'da çalışan tokenleri taklit edebildiğini ne zaman keşfettiğini bilmiyor. Microsoft, tehdit aktörünün bu yeteneği deneme yanılma yoluyla keşfedebileceğini tahmin ediyor.”
Bilinen bilinmeyenler
Mayıs ve Haziran 2023'te, Çin hükümetiyle ilişkili bir bilgisayar korsanlığı grubu olan Storm-0558, Microsoft'un bulut ortamını tehlikeye attı ve ABD Dışişleri Bakanlığı yetkililerinin, Ticaret Bakanlığı yetkililerinin yanı sıra diğer hükümet ve özel sektör kuruluşlarındaki kullanıcıların bulut tabanlı posta kutularına erişti. ABD'de, İngiltere'de ve başka yerlerde.
İzinsiz girişler, anormal posta erişim davranışını tespit eden Dışişleri Bakanlığı'nın güvenlik operasyon merkezi analistleri tarafından 15 Haziran 2023'te fark edildi. Microsoft ek denetim günlüklerine erişim sağladıktan sonra, çeşitli posta kutularına izinsiz girişin 15 Mayıs'ta ve muhtemelen daha önce başladığını buldular (günlükler yalnızca son 30 günü kapsadığı için bunu söylemek imkansız).
Microsoft Exchange Online saldırısının zaman çizelgesi. (Kaynak: CSRB)
Eylül 2023'te Microsoft, Storm-0558'in MSA 2016 anahtarını tüketici imzalama sistemindeki bir çökmenin anlık görüntüsünden aldığını öne sürdü. Bu “çökme dökümü”, bir Microsoft mühendisinin kurumsal hesabını ele geçirmeyi başaran saldırganlar tarafından “internet bağlantılı kurumsal ağdaki hata ayıklama ortamına” taşındı ve buradan sızdırıldı.
Şirket o dönemde, “Günlük saklama politikaları nedeniyle, bu aktörün gerçekleştirdiği bu sızıntıya ilişkin spesifik kanıtları içeren kayıtlara sahip değiliz, ancak bu, aktörün anahtarı elde ettiği en olası mekanizmaydı” dedi.
CSRB ile paylaşılan bilgilere göre şirket, “kısa süre sonra” 2016 MSA anahtar materyalini içeren bir kilitlenme dökümüne dair hiçbir kanıt bulamadı, ancak orijinal blog gönderisini bu bilgiyi içerecek şekilde değiştirmek için Mart 2024'e kadar bekledi.
Şirket, “Önde gelen hipotezimiz, operasyonel hataların, önemli malzemenin güvenli token imzalama ortamından ayrılmasıyla sonuçlandığı ve bunun daha sonra güvenliği ihlal edilmiş bir mühendislik hesabı aracılığıyla hata ayıklama ortamında erişildiği yönündedir” diye ekledi.
Microsoft ayrıca şu anda Storm-0558'in güvenliği ihlal edilmiş bir cihaz aracılığıyla bir Microsoft mühendisinin hesabına erişim elde ettiği 2021'in sonlarında meydana gelen bir olayın, 2023 Exchange Online saldırısıyla bağlantılı olabileceğine inanıyor; şirket bu inancı destekleyecek kanıt sunamadı. CSRB kaydetti.
“Önlenebilir bir saldırı”
Her ne kadar incelemede tam işbirliği yaptığı için Microsoft'u övseler de CSRB, izinsiz girişin aşağıdakiler de dahil olmak üzere önlenebilir hataların bir “kademeli” sonucu olduğunu söyleyerek Microsoft'u kınadı:
- Şirketin kriptografik anahtarlarının tehlikeye atıldığını tespit edememesi
- Yeterli bulut güvenlik kontrollerinin olmayışı
- Yakın zamanda satın alınan bir şirkete ait bir çalışanın dizüstü bilgisayarının, şirketin kurumsal ağına bağlanmasına izin verilmeden önce ele geçirildiğini tespit edememeleri
“Kurul, bu izinsiz girişin önlenebilir olduğunu ve asla gerçekleşmemesi gerektiğini tespit etti. Kurul ayrıca Microsoft'un güvenlik kültürünün yetersiz olduğu ve elden geçirilmesi gerektiği sonucuna varmıştır” dedi ve Microsoft'a CEO'su ve Yönetim Kurulu'nun şirketin güvenlik kültürüne ve şirket ve ürünler genelindeki güvenlik odaklı reformlara odaklanmasını tavsiye etti.
“Kurul, Microsoft'un CEO'sunun bu planın yerine getirilmesi konusunda üst düzey yöneticileri sorumlu tutmasını tavsiye ediyor. Bu arada Microsoft liderliği, kaynaklar için rekabeti engellemek amacıyla önemli güvenlik iyileştirmeleri yapılana kadar şirketin bulut altyapısı ve ürün paketindeki özellik geliştirmelerine öncelik vermeleri için şirket içi Microsoft ekiplerini yönlendirmeyi düşünmelidir.”
İnceleme aynı zamanda “neredeyse hayal edilemeyecek miktarda verinin koruyucusu haline gelen” tüm bulut hizmeti sağlayıcıları için güvenlik tavsiyeleri de sağlıyor. Kapsamlı öneriler, siber güvenlik uygulamalarını iyileştirmeyi, varsayılan denetim günlüklerine ilişkin minimum standartları yükseltmeyi, yeni ortaya çıkan dijital kimlik standartlarını uygulamaya koymayı ve daha fazlasını amaçlıyor.