ABD Dışişleri Bakanlığı’nı ve diğer Microsoft müşteri e-postalarını çalan Çin bağlantılı tehdit grupları, Exchange Online ve Outlook.com dışındaki uygulamalara erişim elde etmiş olabilir.
Wiz Researchers’a göre, güvenliği ihlal edilmiş imzalama anahtarı ilk göründüğünden daha güçlüydü ve yalnızca bu iki hizmetle sınırlı değildi.
Tehdit aktörü, SharePoint, Teams veya OneDrive gibi kişisel hesap kimlik doğrulamasını destekleyen uygulamalar ve ayrıca “Microsoft ile oturum açma” özelliğini destekleyen müşteri uygulamaları ve belirli koşullar altında çok kiracılı uygulamalar dahil olmak üzere çeşitli Azure Active Directory uygulamaları için erişim belirteçleri oluşturmuş olabilir.
Kuruluşların, potansiyel olarak güvenliği ihlal edilmiş uygulamalarda sahte jeton kullanım örnekleri araması önerilir.
Hack’e Genel Bakış
Microsoft, Storm-0558 olarak adlandırdığı gelişmiş bir kalıcı tehdit grubunun, birkaç devlet müşterisi de dahil olmak üzere dünya çapında yaklaşık 25 müşterinin sistemlerini ihlal etmesinden sonra bu ayın başlarında bir uyarı yayınladı.
Bilgisayar korsanlarının, ABD Ticaret Bakanı Gina Raimondo ve diğer yüksek profilli kişilerin özel e-postalarına erişim sağladığı iddia ediliyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), zararı azaltmak ve hükümet yetkilileri olay hakkında Microsoft’u bilgilendirdikten sonra bilgisayar korsanlarının başlangıçta nasıl erişim sağladıklarını daha ayrıntılı incelemek için Microsoft ile işbirliği yaptı.
Microsoft tarafından bu ayın başlarında yapılan açıklamaya göre, tehdit aktörü bir MSA tüketici imzalama anahtarına erişim sağladıktan sonra Exchange Online ve Outlook.com için erişim belirteçleri oluşturdu.
Wiz çalışması, anahtarın kullanıcılara önemli ölçüde daha geniş bir uygulama yelpazesine erişim sağladığını ortaya koyuyor.
Kimlik sağlayıcılar tarafından kullanılan imzalama anahtarları günümüzün en güçlü ticari sırları arasındadır. Örneğin, TLS anahtarlarından çok daha etkilidirler.
Büyük bir etki yaratmak için, bir saldırganın google.com TLS anahtarına erişimi olsa bile bir google.com sunucusunun kimliğine bürünmesi gerekir. Kimlik sağlayıcı anahtarları kullanılarak herhangi bir e-posta kutusuna, dosya hizmetine veya bulut hesabına anında ve doğrudan erişilebilir.
Bunun gibi önemli anahtarları güvence altına almak için sektörümüz, özellikle bulut hizmeti sağlayıcıları, daha yüksek güvenlik ve şeffaflık taahhüdünde bulunmalıdır.
Hangi Uygulamalar Etkilenir?
Analiz, sorunun yalnızca Microsoft’un OpenID v2.0 kullanan Azure Active Directory uygulamalarını etkilediğini söylüyor. Belirteç doğrulama işlemi güvenliği ihlal edilmiş anahtarı kullanmadığından sürüm 1.0’da çalışan uygulamalar etkilenmedi.
Öneri
- Sahte belirteçlerin kullanımını arayın ve Microsoft tarafından sağlanan IP adreslerinden kaynaklanan herhangi bir etkinliği aramak için Microsoft tarafından yayınlanan Uzlaşma Göstergelerini (IoC’ler) kullanın.
- Hiçbir uygulamanın Microsoft OpenID genel sertifikalarının önbelleğe alınmış sürümünü kullanmadığını doğrulayın ve kullanılıyorsa önbelleği temizleyin.
- Microsoft, kuruluş hesaplarının kimliğini doğrulamak için MSA anahtarlarının kullanılmasını önlemek için resmi Azure SDK’ya ek doğrulamalar getirmiştir. Paketin en son sürümü kullanıcılar tarafından güncellenmelidir.
En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.