Şirketin Salı günü yaptığı açıklamaya göre, sofistike bilgisayar korsanları, edinilmiş bir Microsoft hesabı (MSA) tüketici imzalama anahtarını kullanarak sahte kimlik doğrulama belirteçleri aracılığıyla kuruluşların ve devlet kurumlarının e-posta hesaplarına erişti.
“Microsoft’un bu olayla ilişkilendirdiği tehdit aktörü, Microsoft’un Storm-0558 adını verdiği, Çin merkezli bir düşmandır. Bu düşmanın, istihbarat toplamak için e-posta sistemlerine erişim elde etmek gibi casusluk faaliyetlerine odaklandığını değerlendiriyoruz.”
Şirket, bu özel bilgisayar korsanlığı grubunun öncelikle Batı Avrupa’daki devlet kurumlarını hedef aldığını da sözlerine ekledi. Ancak The Washington Post’a göre, bu son saldırılar bir dizi sınıflandırılmamış ABD e-posta hesabını da ele geçirdi.
Bilgisayar korsanları bir belirteç doğrulama sorunundan yararlandı
Microsoft, müşteriler tarafından uyarıldıktan sonra 16 Haziran 2023’te anormal posta etkinliğini araştırmaya başladı.
Nihayetinde, hesap ihlallerinin bir gün önce başladığını ve saldırganların 25 kuruluştaki çalışanların e-posta hesaplarına ve bu kuruluşlarla ilişkili kişilerin bazı tüketici hesaplarına erişmeyi başardıklarını tespit ettiler.
Saldırganlar, Exchange Online (OWA) ve Outlook.com’da Outlook Web Access aracılığıyla erişim sağladı.
“MSA (tüketici) anahtarları ve Azure AD (kurumsal) anahtarları, ayrı sistemlerden verilir ve yönetilir ve yalnızca kendi sistemleri için geçerli olmalıdır. Aktör, Azure AD kullanıcılarının kimliğine bürünmek ve kurumsal postaya erişim elde etmek için bir belirteç doğrulama sorunundan yararlandı,” diye açıkladı Microsoft.
“Azure AD anahtarlarının veya başka herhangi bir MSA anahtarının bu aktör tarafından kullanıldığına dair hiçbir belirtimiz yok. OWA ve Outlook.com, aktörün edinilen MSA anahtarıyla sahte jetonlar kullandığını gözlemlediğimiz tek hizmet.”
Microsoft, müşterilerin kendilerini bu saldırıya karşı korumak için herhangi bir şey yapmaları gerekmediğini söylüyor – şirket hafifletme önlemleri uyguladı (anahtarla verilen kötü niyetli olarak imzalanmış belirteçlerin kullanımını engelledi ve değiştirdi). Yine de, kötüye kullanılan belirteç doğrulama sorununu düzelttiklerinden söz edilmiyor.
Microsoft, hedeflenen veya güvenliği ihlal edilmiş tüm kuruluşlarla doğrudan kiracı yöneticileri aracılığıyla iletişime geçmiş ve araştırmalarına ve yanıt vermelerine yardımcı olacak bilgiler sağlanmıştır. Şirket, “Sizinle iletişime geçmediyseniz, araştırmalarımız etkilenmediğinizi gösteriyor” diye ekledi ve “uygunsa yeni ayrıntıları ve önerileri” paylaşacağına söz verdi.
Microsoft ayrıca Salı günü, saldırganların kötü amaçlı sürücüleri imzalamak için Microsoft Windows Donanım Geliştirici Programını (MWHDP) kullandığını ve vahşi ortamda aktif olarak istismar edilen çeşitli sıfır gün için düzeltmeler yayınladığını da paylaştı.