Bir “çökme bilgi dökümüne” yazılan ve daha sonra güvenliği ihlal edilmiş bir mühendis hesabı tarafından erişilen bir güvenlik anahtarı, bu yılın başlarında Microsoft’un güvenlik açığına uğramasının temel nedeniydi.
Microsoft, otopsi sonrası ayrıntılı bir olayda, hataların Çinli tehdit aktörü Storm-0558’in, Outlook.com ve Outlook Web Access (OWA) için token oluşturmasına olanak tanıyan bir MSA tüketici anahtarı elde etmesine yol açtığını söyledi.
Microsoft hesabı tüketici imzalama anahtarına erişim sayesinde Storm-0558, kurumsal sistemler tarafından da kabul edilebilecek bir belirteçle imzalanmış tüketici anahtarları oluşturmayı başardı.
Microsoft, gelecekte bu durumu önlemek için kütüphanelerini güncellediğini söyledi.
Microsoft, önemli materyallerin Microsoft’un üretim ortamından ayrılması anlamına gelmediğini söyledi.
Ancak, “Nisan 2021’de tüketici imzalama sistemi çökmesi, çöken sürecin anlık görüntüsüyle (“çökme dökümü”) sonuçlandı.
Microsoft, “Hassas bilgileri düzelten kilitlenme dökümleri imzalama anahtarını içermemelidir” diye yazdı.
Satıcı, “Bu durumda bir yarış koşulu, anahtarın kaza dökümünde bulunmasına izin verdi” dedi ve sorunun “düzeltildiğini” ekledi.
Ayrıca Microsoft’un sistemleri, kilitlenme dökümünde anahtar malzemenin varlığını tespit edemedi; şirket bu sorunun da düzeltildiğini belirtti.
Kilitlenme dökümü “daha sonra yalıtılmış üretim ağından internete bağlı kurumsal ağdaki hata ayıklama ortamımıza taşındı.”
“Bu, standart hata ayıklama süreçlerimizle tutarlıdır. Kimlik bilgisi tarama yöntemlerimiz onun varlığını tespit edemedi (bu sorun düzeltildi),” otopsisinde belirtiliyor.
Microsoft, Storm-0558 aktörünün anahtara nasıl erişim kazandığını tam olarak belirleyemedi ancak bunun, güvenliği ihlal edilmiş bir Microsoft mühendisinin, kilitlenme dökümünü içeren hata ayıklama ortamına erişimi olan kurumsal hesabı aracılığıyla gerçekleştiğine inanıyor.
Şirket ayrıca yarış koşullarının imza anahtarının kaza dökümünün bir parçası olmasına nasıl izin verdiğini çözdüğünü de söyledi.