Microsoft şunları söyledi Haziran ayında Çin destekli bir bilgisayar korsanlığı grubunun şirketin sistemlerinden bir kriptografik anahtar çaldığını bildirdi. Bu anahtar, saldırganların birden fazla ABD devlet kurumu da dahil olmak üzere 25 kuruluşun bulut tabanlı Outlook e-posta sistemlerine erişmesine olanak tanıdı. Ancak açıklama sırasında Microsoft, bilgisayar korsanlarının bu kadar hassas ve yüksek düzeyde korunan bir anahtarı nasıl ele geçirebildiklerini veya anahtarı tüketici ve kurumsal seviye sistemler arasında geçiş yapmak için nasıl kullanabildiklerini açıklamadı. Ancak şirket tarafından Çarşamba günü yayınlanan yeni bir otopsi, bu beklenmedik saldırıya izin veren bir dizi hata ve gözden kaçırmayı açıklıyor.
Bu tür şifreleme anahtarları bulut altyapısında önemlidir çünkü bunlar, veri ve hizmetlere erişim için kullanıcının kimliğini kanıtlayan kimlik doğrulama “belirteçleri” oluşturmak için kullanılır. Microsoft, bu hassas anahtarları yalıtılmış ve sıkı erişim kontrollü bir “üretim ortamında” sakladığını söylüyor. Ancak Nisan 2021’deki belirli bir sistem çökmesi sırasında, söz konusu anahtar, korunan bölgenin dışına çıkan veri önbelleğindeki tesadüfi bir kaçak yolcuydu.
ABD Ulusal Güvenlik Ajansı’nın eski bir bilgisayar korsanı olan ve şu anda Uygulamalı Uygulamalar Enstitüsü öğretim üyesi olan Jake Williams, “En iyi hack’ler, 1000 kağıt kesiğiyle ölümdür; tek bir güvenlik açığından yararlanıp sonra tüm malları ele geçirdiğiniz bir şey değil” diyor. Ağ güvenliği.
Tüketici imzalama sisteminin ölümcül çöküşünün ardından, kriptografik anahtar, ne olduğuna dair otomatik olarak oluşturulan bir veri “çökme dökümü” ile sonuçlandı. Microsoft’un sistemleri, imzalama anahtarları ve diğer hassas verilerin kilitlenme dökümlerinde yer almayacağı şekilde tasarlanmıştır, ancak bu anahtar bir hata nedeniyle gözden kaçmıştır. Daha da kötüsü, çökme dökümlerindeki hatalı verileri tespit etmek için oluşturulan sistemler, şifreleme anahtarını işaretlemede başarısız oldu.
Çökme dökümü görünüşte incelenip temizlendikten sonra, üretim ortamından, şirketin normal kurumsal ağına bağlı bir tür önceliklendirme ve inceleme alanı olan Microsoft “hata ayıklama ortamına” taşındı. Ancak bir kez daha, kimlik bilgilerinin yanlışlıkla eklendiğini tespit etmek için tasarlanan tarama, anahtarın verilerdeki varlığını tespit edemedi.
Tüm bunların Nisan 2021’de gerçekleşmesinden bir süre sonra, Microsoft’un Storm-0558 olarak adlandırdığı Çin casusluk grubu, bir Microsoft mühendisinin kurumsal hesabının güvenliğini ihlal etti. Bu hesapla saldırganlar, talihsiz kilitlenme dökümünün ve anahtarın depolandığı hata ayıklama ortamına erişebilir. Microsoft, ele geçirilen hesabın kilitlenme dökümünü sızdırdığını doğrudan gösteren bu döneme ait günlüklerin artık elinde olmadığını söylüyor, “ancak bu, aktörün anahtarı ele geçirdiği en olası mekanizmaydı.” Bu önemli keşifle donanmış olan saldırganlar, meşru Microsoft hesabı erişim jetonları oluşturmaya başlayabildiler.
Olayla ilgili yanıtlanmayan bir diğer soru da, saldırganların tüketici imzalama sisteminin çökme günlüğünden alınan bir kripto anahtarını devlet kurumları gibi kuruluşların kurumsal e-posta hesaplarına sızmak için nasıl kullandığıydı. Microsoft Çarşamba günü yaptığı açıklamada bunun, şirketin müşteri sistemlerinin imzaları kriptografik olarak doğrulamasına yardımcı olmak için sağladığı uygulama programlama arayüzüyle ilgili bir kusur nedeniyle mümkün olduğunu söyledi. API, bir sistemin tüketici anahtarlarıyla mı yoksa kurumsal anahtarlarla imzalanmış belirteçleri mi kabul etmesi gerektiğini doğrulayacak kitaplıklarla tam olarak güncellenmemişti ve sonuç olarak birçok sistem ikisini de kabul edecek şekilde kandırılabiliyordu.