Çinli bilgisayar korsanlarının, Microsoft 365’in e-posta hizmetini ihlal etmelerine ve 25 devlet kurumunun çalışanlarının hesaplarına erişmelerine olanak tanıyan önemli bir imzalama anahtarını nasıl çalmayı başardıklarının gizemi açıklandı: Onu, olmaması gereken bir yerde, yani Microsoft’un kurumsal ortamında buldular. .
Microsoft imzalama anahtarının çalınması
Kısacası:
- Anahtar, Microsoft’un “son derece izole ve kısıtlı üretim ortamında” bulunan bir tüketici imzalama sisteminin kilitlenme dökümünde yer alıyordu.
- Microsoft bunu fark etmedi
- Kilitlenme dökümü, şirketin internete bağlı kurumsal ağdaki hata ayıklama ortamına taşındı
- Bir süre sonra bilgisayar korsanları bir Microsoft mühendisinin kurumsal hesabını ele geçirmeyi, hata ayıklama ortamına erişmeyi, kilitlenme dökümünü almayı ve anahtarı çıkarmayı başardılar.
Veya en azından Microsoft her şeyin bu şekilde gerçekleştiğine inanıyor. Şirket çarşamba günü yaptığı açıklamada, “Günlük tutma politikaları nedeniyle, bu aktörün sızdırdığına ilişkin spesifik kanıtları içeren kayıtlarımız yok, ancak bu, aktörün anahtarı elde ettiği en olası mekanizmaydı” dedi.
İmza anahtarı, beklenmedik bir yarış durumu nedeniyle tüketici imzalama sisteminin çöken sürecinin anlık görüntüsüne dahil edildi ve kilitlenme dökümündeki varlığı, Microsoft’un kimlik bilgisi tarama yöntemleri tarafından tespit edilemedi. (Microsoft, yarış durumunun çözüldüğünü ve kimlik bilgisi taramasının geliştirildiğini söylüyor.)
Peki nasıl oldu da bir tüketici anahtarı kurumsal postaya erişim izni verebildi?
Şirket daha önce MSA (tüketici) anahtarları ve Azure AD (kurumsal) anahtarlarının ayrı sistemlerden verilip yönetildiğini ve yalnızca kendi sistemleri için geçerli olması gerektiğini, ancak saldırganların bir token doğrulama sorununu istismar ettiğini söylemişti.
“Microsoft, hem tüketici hem de kurumsal uygulamalarla çalışan uygulamaları desteklemeye yönelik artan müşteri talebini karşılamak için Eylül 2018’de ortak bir anahtar meta veri yayınlama uç noktası başlattı. Bu birleştirilmiş teklifin bir parçası olarak Microsoft, anahtar kapsam doğrulaması gereksinimlerini açıklığa kavuşturmak için belgeleri güncelledi. Şirket şimdi, kurumsal hesaplar için kullanılacak anahtarın ve tüketici hesapları için hangisinin kullanılacağını açıkladı.
“Mevcut dokümantasyon ve yardımcı API kitaplığının bir parçası olarak Microsoft, imzaların kriptografik olarak doğrulanmasına yardımcı olacak bir API sağladı ancak bu kitaplıkları bu kapsam doğrulamasını otomatik olarak gerçekleştirecek şekilde güncellemedi (bu sorun düzeltildi). Posta sistemleri, 2022’de ortak meta veri uç noktasını kullanacak şekilde güncellendi. Posta sistemindeki geliştiriciler, hatalı bir şekilde kitaplıkların tam doğrulama gerçekleştirdiğini varsaydılar ve gerekli veren/kapsam doğrulamasını eklemediler. Böylece posta sistemi, tüketici anahtarıyla imzalanmış bir güvenlik belirtecini kullanarak kurumsal e-posta talebini kabul edecektir (bu sorun, güncellenen kitaplıklar kullanılarak düzeltilmiştir).
Bazı sorular hala cevapsız
Wiz araştırmacıları daha önce söz konusu anahtarın 27 Haziran ile 5 Temmuz 2023 arasında değiştirildiğini ancak süresinin 4 Nisan 2021’de dolduğunu keşfetmişti.
Peki bu neden iki yıl sonra Microsoft’un bulut hizmetleri tarafından geçerli sayılmasını engellemedi? Microsoft söylemedi.
Ancak ihlal olumlu bir sonuca yol açtı: Bu aydan itibaren daha fazla federal hükümet ve ticari Microsoft müşterisi, izinsiz girişlerin araştırılmasını kolaylaştırmak için genişletilmiş bulut günlük kaydı özelliklerine ücretsiz olarak sahip olacak.