Microsoft kodundaki bir doğrulama hatası nedeniyle Çinli olduğundan şüphelenilen bir saldırgan, devlet kurumları da dahil olmak üzere yaklaşık 25 kuruluştan gelen kullanıcı e-postalarına erişmeyi başardı.
Microsoft, şüpheli bir Çin casusluk grubunun devlet kurumları ve genel buluttaki ilgili tüketici hesapları da dahil olmak üzere yaklaşık 25 kuruluştan gelen kullanıcı e-postalarına erişmesine olanak tanıyan ciddi bir güvenlik olayını ele alma biçimi nedeniyle eleştiriliyor. Saldırılar hedeflendi ve ilk keşfedilmeden önce yaklaşık bir ay sürdü.
Soruşturma, 16 Haziran 2023’te bir müşteri tarafından anormal bir Exchange Online veri erişimi hakkında Microsoft’a bilgi verildiğinde başladı. Araştırma sonucunda, müşterinin Exchange Online verilerine Outlook Web Access (OWA) kullanılarak erişildiği öğrenildi.
Microsoft analizi, etkinliği önceden belirlenmiş taktiklere, tekniklere ve prosedürlere (TTP’ler) dayalı olarak Storm-0558 adlı bir gruba bağladı. İlişkilendirme, Storm-0558’in casusluk hedefleriyle tutarlı faaliyetlere ve yöntemlere sahip Çin merkezli bir tehdit aktörü olduğuna ilişkin Microsoft Tehdit İstihbaratı değerlendirmesine dayanmaktadır.
İlk başta Microsoft, casusların kötü amaçlı yazılım tarafından çalınan yasal Azure Active Directory (Azure AD) belirteçlerini kullandığını varsaydı. Ancak daha fazla analiz, Storm-0558’in, OWA ve Outlook.com’a erişmek için edinilmiş bir Microsoft hesabı (MSA) tüketici imzalama anahtarı kullanarak Azure AD belirteçleri oluşturduğunu gösterdi.
Bu, yalnızca Microsoft kodundaki bir doğrulama hatası nedeniyle mümkün olmuştur. MSA (tüketici) anahtarları ve Azure AD (kurumsal) anahtarları, ayrı sistemlerden verilir ve yönetilir ve yalnızca kendi sistemleri için geçerli olmalıdır. Microsoft, Storm-0558’in etkin olmayan MSA imzalama anahtarını nasıl çaldığını hala bilmediğini söylüyor.
Bir kimlik doğrulama belirteci, internet kullanıcılarının her ziyaretlerinde oturum açma kimlik bilgilerini girmek zorunda kalmadan uygulamalara, hizmetlere, web sitelerine ve uygulama programlama arabirimlerine (API’ler) erişmesine olanak tanır. Bunun yerine, kullanıcı bir kez oturum açar ve kimliğini doğrulamak için benzersiz bir belirteç oluşturulur ve bağlı uygulamalar veya web siteleri ile paylaşılır.
Bu belirteçler bir imzalama anahtarıyla doğrulanır, böylece böyle bir anahtara erişim sağlayan bir saldırgan, ilişkili hizmetlere erişmek için geçerli belirteçler oluşturabilir. Storm-0558, daha önce verilmiş bir tanesini sunarak yeni erişim belirteçleri elde edebildi. GetAccessTokenForResource Bir tasarım hatası nedeniyle Uygulama Programlama Arayüzü (API). Bu API’deki bu kusur o zamandan beri düzeltildi.
Sorulduğunda, Çin olaya karıştığını inkar etti ve temelde cam evlerdeki insanların taş atmamaları gerektiğini söyledi.
“Beyaz Saray Ulusal Güvenlik Konseyi sözcüsünün, ABD yetkililerinin Çin’le bağlantılı bilgisayar korsanlarının Microsoft’un bulut bilişimindeki bir güvenlik zayıflığından yararlanarak ABD’nin sınıflandırılmamış e-posta hesaplarına girdiğini bulduğunu ve ABD’nin Microsoft’u bu konuda bilgilendirdiğini iddia ettiğine dair raporları kaydettik. Geçmişte, bu tür dezenformasyonları yayınlayanın genellikle dünyanın 1 numaralı bilgisayar korsanlığı grubu – ABD Siber Kuvvet Komutanlığı olarak da hizmet veren ABD Ulusal Güvenlik Teşkilatı olduğunu söylemek isterim. Bu sefer ABD Ulusal Güvenlik Konseyi idi. Bu bir kamuoyu açıklaması yaptı. Hangi kurum konuşursa konuşsun, ABD’nin dünyanın en büyük bilgisayar korsanlığı imparatorluğu ve küresel siber hırsız olduğu gerçeğini değiştirmiyor.”
Ne yapıldı
Microsoft, tüm müşteriler için bu saldırının hafifletilmesini tamamladığını ve daha fazla erişime dair herhangi bir kanıt bulamadığını söylüyor. Etkilenen müşterilerle iletişime geçildi, bu nedenle bilgisayar korsanlarının Exchange veya Outlook hesaplarına erişmek için aynı taktikleri kullanmasını önlemek için herhangi bir ek müşteri işlemine gerek yoktur.
26 Haziran’da OWA, GetAccessTokensForResource’dan verilen belirteçleri yenileme için kabul etmeyi durdurdu ve bu, Storm-0556’nın Azure programından verilen belirteçleri kullanma yeteneğini durdurdu.
27 Haziran’da Microsoft, satın alınan MSA anahtarıyla imzalanan belirteçlerin OWA’da kullanılmasını engelleyerek, satın alınan anahtarla imzalanan belirteçlerin kullanımını engelledi.
29 Haziran’da Microsoft, tehdit aktörünün anahtarı yeni belirteçler oluşturmak için kullanmasını önlemek için anahtarın değiştirilmesini tamamladı.
Microsoft, 3 Temmuz 2023’te etkilenen tüm müşteriler için çalınan özel imzalama anahtarının kullanılmasını engelledi ve “satın alınan MSA anahtarının ilk kez yayınlanmasından bu yana anahtar verme sistemlerini önemli ölçüde güçlendirdiğini” söyledi.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmanızı engeller. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz bir deneme alın.
ŞİMDİ DENE