Çinli Hackerlar Outlook Hesaplarına Erişmek İçin İmza Anahtarını Nasıl Çaldı?


Temmuz 2023’te Hackread.com, Microsoft’un bulgularına dayanarak Storm-0558 ATP grubundaki Çinli bilgisayar korsanlarının Avrupa hükümetinin e-postalarını hacklediğini bildirdi. Bunu, sahte kimlik doğrulama belirteçleri ve edinilmiş bir Microsoft hesabı (MSA) tüketici imzalama anahtarı kullanarak başardılar. Microsoft şimdi bu ihlalin nasıl meydana geldiğini açıkladı.

  • Çinli bilgisayar korsanları Microsoft yazılım dökümünden bir imzalama anahtarı çaldı.
  • Anahtar, Outlook.com ve Outlook Web Access için belirteçler oluşturmak için kullanıldı.
  • Bilgisayar korsanları, devlet kurumları da dahil olmak üzere yaklaşık 25 ABD kuruluşunun e-posta hesaplarına erişim sağladı.
  • Microsoft, ihlalin gerçekleşmesine izin veren hataları düzeltti.
  • Kullanıcılar yine de dikkatli olmalı ve hesaplarını korumak için gerekli adımları atmalıdır.

Çarşamba günü Microsoft, Çinli tehdit aktörü Storm-0558’in MSA kriptografik tüketici anahtarını nasıl elde ettiğini, Outlook.com ve Outlook Web Access için kurumsal sistemler tarafından kabul edilen sahte tokenları nasıl elde ettiğini ve ABD kuruluşlarının hesaplarına nasıl girdiğini açıklayan bir olay sonrası olay raporu yayınladı.

Bu ihlalde Çinli casusluk grubu, Microsoft Bulut platformundaki bir güvenlik açığından yararlanarak devlet kurumları da dahil olmak üzere yaklaşık 25 ABD kuruluşunun e-posta hesaplarına erişim sağladı. Washington Post, bu olayda ABD Dışişleri Bakanlığı yetkilileri ve Ticaret Bakanı Raimondo’nun e-posta hesaplarının ihlal edildiğini bildirdi.

Microsoft, Storm-0558’in anahtarı Nisan 2021’de çöken bir yazılım dökümünden çaldığını itiraf etti. Anahtar, bilgisayar çöktüğünde kazara sızdırıldı ve makineler bir kilitlenme dökümü raporu oluşturdu.

“Hassas bilgileri düzelten kilitlenme dökümleri imzalama anahtarını içermemelidir. Bu durumda, bir yarış koşulu, anahtarın kaza çöplüğünde bulunmasına izin verdi,” diye yazıyordu raporda.

Microsoft, bu hata oluştuğunda makinenin bir yazılım hatası nedeniyle anahtarı dosyadan çıkaramadığını açıkladı. Ayrıca dökümün ilk etapta dijital anahtarı içermemesi gerektiğini de kabul etti.

Microsoft, imzalama anahtarlarının bulunduğu tüm bilgisayarları her zaman izole ettiğini ve bu makinelerin e-posta veya video konferans gibi bazı önemli internet tabanlı hizmetleri içermediğini belirtti.

Ancak kilitlenme dökümü raporu, düzenlenmemiş dosyanın hata ayıklamayı gerçekleştirmek için kullanılan internete bağlı bir Microsoft bilgisayarına otomatik olarak aktarılması nedeniyle güvenlik mekanizmalarında bir çöküntü yarattı.

Sorun, Microsoft’un sistemlerinin kilitlenme dökümünde anahtarın varlığını tespit edememesi nedeniyle ortaya çıktı. Bu sorun daha sonra Microsoft tarafından düzeltildi ve döküm, şirketin standart hata ayıklama sürecinin bir parçası olarak yalıtılmış üretim ağından “internet bağlantılı kurumsal ağ” üzerindeki hata ayıklama ortamına kaydırıldı.

Ancak Windows devi hâlâ Çinli tehdit aktörlerinin anahtara nasıl erişim sağladığını çözmeye çalışıyor. Şirket, grubun, çökme dökümünün mevcut olduğu hata ayıklama ortamına erişim sağlayan, zaten güvenliği ihlal edilmiş bir Microsoft mühendisinin kurumsal hesabına erişimi olduğundan şüpheleniyor.

İmza anahtarının bilgisayar korsanları tarafından hedeflenen kurumsal hesaplar için kullanılamayacağını çünkü bu anahtarın tüketici Microsoft hesapları için tasarlandığını belirtmekte fayda var. Burada Microsoft’un başarısızlığı açıkça görülüyor.

Şirket, tüketici ve kurumsal hesaplar arasındaki anahtar imzalama imzalarını otomatik olarak doğrulamak için kritik bir yazılım kitaplığını güncellemedi. Posta sistemi geliştiricileri, kütüphanelerin tam doğrulama gerçekleştirdiğine ve gerekli yayıncı/kapsam doğrulamasını eklemediğine inanıyordu. Bu, posta sisteminin, söz konusu tüketici anahtarıyla imzalanmış bir güvenlik belirtecini kullanarak kurumsal e-posta talebini kabul etmesine olanak tanıdı.

Ancak şirket, tespit sistemlerini iyileştirmek ve hassas verilerin yanlışlıkla çökme dökümü dosyalarına eklenmesini önlemek de dahil olmak üzere, bilgisayar korsanlarının ihlali gerçekleştirmesine olanak tanıyan hataları ve süreçleri artık düzelttiğini iddia ediyor.

Anlaşılması Gereken Önemli Noktalar

  • İmzalama anahtarı, e-posta iletilerini ve diğer Microsoft hizmetlerini imzalamak için kullanılan dijital bir sertifikadır.
  • Bilgisayar korsanları, bir Microsoft bilgisayarı çöktüğünde oluşturulan yazılım dökümünden anahtarı çalmayı başardılar.
  • Anahtarın kilitlenme dökümüne dahil edilmemesi gerekiyordu, ancak bir yazılım hatası onun dahil edilmesine izin verdi.
  • Bilgisayar korsanları, anahtarı Outlook.com ve Outlook Web Erişimi hesaplarına erişmelerine olanak tanıyan belirteçler oluşturmak için kullandı.
  • Microsoft, anahtarın kilitlenme dökümüne dahil edilmesine izin veren hatayı düzeltti.
  • Microsoft ayrıca hassas verilerin yanlışlıkla kilitlenme dökümü dosyalarına eklenmesini önlemek için sistemlerini güncelledi.
  1. Çinli APT grubu FoundCore RAT ile Vietnam ordusunu gözetliyor
  2. Çinli Bilgisayar Korsanları Kötü Amaçlı Yazılım İmzalamak İçin Çalınan Ivacy VPN Sertifikasını Kullanıyor
  3. Çin APT, Sahte Sinyal ve Telegram Uygulamalarını Resmi Uygulama Mağazalarına Kaydırdı
  4. Microsoft: Çin APT Flax Typhoon siber casusluk için yasal araçlar kullanıyor
  5. Çinli Smishing Triad Çetesi, Kapsamlı Siber Suç Saldırısında ABD’li Kullanıcıları Vurdu





Source link