Microsoft, Storm-0558 olarak takip edilen Çin devlet destekli gelişmiş kalıcı tehdit (APT) aktörünün, OWA ve Outlook.com’a erişim sağlayan tokenleri oluşturmak için Microsoft hesabı (MSA) tüketici anahtarını nasıl ele geçirdiğine dair ayrıntıları yayınladı. birden fazla yüksek profilli müşterideki hesaplar.
İlk kez 11 Temmuz Salı günü açıklanan olay, Nisan ayında başladı ve Storm-0558’in Mayıs ortasından itibaren ABD devlet kurumları ve departmanları da dahil olmak üzere birden fazla kuruluştaki e-posta hesap verilerine erişmesine olanak sağladı. İzinsiz girişlerin tespit edilmesi ve ele alınması bir ay daha sürdü.
Microsoft o zamandan beri olaya verdiği tepki nedeniyle, hükümet yetkililerinin ihmal suçlamaları da dahil olmak üzere eleştirilerle karşı karşıya kaldı.
Redmond’un olayla ilgili soruşturması artık tamamlandı ve Microsoft, Storm-0558’in siber saldırı kampanyasını başlatmak için nadir görülen olayların birleşiminden yararlanabildiğini keşfetti. Bu durumun tekrar yaşanmaması için harekete geçti.
“Microsoft, derinlemesine savunma stratejimizin bir parçası olarak sistemleri sürekli olarak güçlendiriyor. MSA anahtar yönetimi ile ilgili yapılan yatırımlar https://aka.ms/storm-0558 blogunda yer almaktadır. Bu blogda ayrıntıları verilen öğeler, bu genel yatırımların bir alt kümesidir,” dedi firmanın MSRC güvenlik ekibi.
Microsoft, müşterilerinin verilerinin son derece hassas yapısından dolayı, önemli materyallerin ayrılmasını önleyecek şekilde tasarlanmış, yüksek düzeyde kontrollü, izole ve kısıtlı üretim ortamları sağlar.
Ancak Nisan ayında tüketici imzalama sistemindeki bir çökme, çöken sürecin anlık görüntüsünün alınmasına yol açtı; buna kilitlenme dökümü, bir tür bellek dökümü adı veriliyor. Bu tür kilitlenme dökümleri hassas bilgileri çıkarır ve bunun imzalama anahtarını içermemesi gerekirdi, ancak bu durumda imzalama anahtarı bir yarış durumu nedeniyle dahil edilmiştir; bu, iki program işlemi veya iş parçacığının aynı kaynağa erişmeye çalıştığında ortaya çıkan bir sorundur. aynı zamanda sistemde sorunlara yol açmaktadır. Microsoft’un sistemleri o sırada bunu tespit edemedi; Microsoft daha sonra bu soruna çözüm buldu.
Microsoft, kilitlenme dökümünün hassas malzeme içerdiğine inanmadığı için, yalıtılmış üretim ağından, Microsoft’un standart hata ayıklama süreçleriyle tutarlı olarak, internete bağlı ana kurumsal ağdaki hata ayıklama ortamına taşındı. Bu noktada anahtarın varlığı hâlâ fark edilememişti.
Bunu takip eden bir noktada Microsoft, Storm-0558’in hata ayıklama ortamına erişimi olan bir Microsoft mühendisine ait kurumsal hesabı başarıyla ele geçirdiğini tespit etti. Ne yazık ki, Microsoft’un günlük tutma politikaları, bu noktada Storm-0558’in imzalama anahtarını hata ayıklama ortamından sızdırdığına dair doğrudan bir kanıt bulunmadığı anlamına geliyor, ancak bu, bir miktar farkla kullanılan en olası mekanizmadır.
Microsoft ve kamu müşterileri için zaten kötü olan durum daha da kötüleşti; çünkü Microsoft, hem tüketici hem de kurumsal uygulamalarla çalışan uygulamaları desteklemeye yönelik artan talebi karşılamak için son beş yıldır ortak bir temel meta veri yayınlama uç noktasına sahip oldu.
Microsoft, bu birleştirilmiş teklifi ayarlarken, temel kapsam doğrulama gereksinimlerini (yani tüketici hesapları için hangi anahtarın, kurumsal hesaplar için hangisinin kullanılacağını) açıklığa kavuşturmak için belgeleri güncellediğini söyledi. Ayrıca, imzaların kriptografik olarak doğrulanmasına yardımcı olmak için dokümantasyon kitaplığı ve yardımcı API’ler aracılığıyla bir uygulama programlama arayüzü (API) sağladı, ancak kritik olarak, bu kitaplıkları kapsam doğrulamasını otomatik olarak gerçekleştirecek şekilde güncellemedi, şimdi başka bir şeyi düzeltmek için harekete geçti.
Posta sistemleri 2022’de ortak meta veri uç noktasını kullanacak şekilde güncellendiğinde, geliştiriciler hatalı bir şekilde bu kitaplıkların tam imzalama anahtarı doğrulaması gerçekleştirdiğini varsaydılar ve bu nedenle gerekli veren/kapsam doğrulamasını eklemediler ve bu da postanın gönderildiği bir dizi duruma yol açtı. sistem, tüketici anahtarıyla imzalanmış bir güvenlik belirtecini kullanarak kurumsal e-posta talebini memnuniyetle kabul edebilir.
ESET’in küresel siber güvenlik danışmanı Jake Moore, “Çökme dökümleri genellikle imzalama anahtarlarını içermez, ancak hataya neden olan tek aksilik bu değildi” dedi.
“Saldırıların büyük çoğunluğunda olduğu gibi, tehdit aktörleri bir mühendisin saldırıyı başarıyla başlatan ‘tüm alanlara erişim’ sağlayan kurumsal hesabını ele geçirmeyi başardı; dolayısıyla bu tür hesapların kimlik avı saldırılarına karşı yüksek düzeyde tetikte ve tetikte olmaları hayati önem taşıyor” diye ekledi. .
“Bu anahtar daha sonra istedikleri herhangi bir kullanıcı hesabını veya uygulamayı güçlü bir şekilde taklit etti. Kimlik bilgisi taraması daha önce hesaba katılmadığından, Microsoft bulut hizmetlerine saldırıyı mümkün kılan önceki bir kilitlenme dökümünden anahtarın alınması mümkün oldu.”
İzinsiz girişin kapsamı daha geniş olabilir mi?
Bu arada güvenlik uzmanları, Storm-0558’in saldırısının kapsamının, ilk başta belirtilenden çok daha geniş olabileceğini öne sürdü.
Tarafından bildirildiği gibi Bip sesi çıkaran bilgisayar Temmuz ayı sonlarında, Wiz’de araştırmacı olan Shir Tamari, ele geçirilen imzalama anahtarının ilk düşünülenden çok daha güçlü olduğunu ve aynı zamanda tehdit aktörlerinin, kişisel verileri destekleyen tüm Azure Active Directory uygulamaları da dahil olmak üzere birden fazla Azure Active Directory uygulamasına erişim sağlayabileceğini öne süren bilgileri yayınladı. hesap kimlik doğrulaması.
Aslında bu, OneDrive, SharePoint ve Teams gibi yaygın olarak kullanılan uygulamaların da risk altında olabileceği anlamına geliyor.
Microsoft’un araştırması bu noktaya değinmedi.