Кинески хакери су провалили налоге користећи кључ за потписивање
Оно што треба да знате
- Мицрософт је био под надзором саветодавног одбора за сајбер безбедност након кршења више налога који припадају званичницима америчке владе.
- Компанија је сада открила да је хакерска група, Сторм-0558, могла да приступи овим налозима путем кључа за потписивање из Виндовс-а.
- Мицрософт наводи да је кршење отклоњено и да је утицало само на Екцханге Онлине и Оутлоок.
- Истраживач безбедности се супротставио тврдњама наводећи да је кршење било распрострањеније и да је утицало на Мицрософт платформе засноване на облаку, укључујући Оутлоок, СхареПоинт, ОнеДриве и Теамс.
Недавно, америчка саветодавна комисија за сајбер безбедност коју је наручила администрација председника Бајдена покренуо истрагу у вези са Мицрософт-ом након кинеске хакерске групе познате као Сторм-0558 је успео да провалили Мицрософт налоге е-поште који припадају две десетине владиних агенција. Панел има за циљ да утврди умешаност Мајкрософта у ово питање, уз спекулације да би у причи могло бити више и да је компанија мање него транспарентна у вези са тим.
Иако је Мицрософт успео да ублажи проблем, није пружио детаљан налог који наглашава како се инцидент десио и како су нападачи успели да добију приступ акредитивима.
Према новом извештају од БлеепингЦомпутер, Мицрософт је назначио да је Сторм-0558 био у могућности да приступи акредитивима званичника тако што је украо кључ за потписивање из Виндовс депоније након што је провалио корпоративни налог Мицрософт инжењера.
Хакери су користили кључ да компромитују Екцханге Онлине и Азуре Ацтиве Дирецтори налоге који припадају више организација. Државне агенције са седиштем у САД, укључујући Министарство за државу и трговину САД, биле су међу странкама погођеним кршењем. Ово је изазвало неколико обрва, укључујући и сенатора Рона Видена, који је 27. јула написао писмо у којем је од Одбора за преглед сајбер безбедности затражио да испита ову ствар.
Открили смо да је ова депонија, за коју се у то време веровало да не садржи кључни материјал, накнадно премештена из изоловане производне мреже у наше окружење за отклањање грешака на интернет повезаној корпорацији мреже. Ово је у складу са нашим стандардним процесима отклањања грешака. Наше методе скенирања акредитива нису откриле његово присуство (овај проблем је исправљен).
Мицрософт
Мицрософт је даље навео да је кинеска хакерска група искористила проблем валидације нултог дана у ГетАццессТокенФорРесоурцеАПИ који је од тада смањен да фалсификује потписане приступне токене, што им омогућава да се лажно представљају рачуни званичника.
Компанија је такође навела да МСА кључ који је коришћен за упад у рачуне званичника датира из априла 2021. године, када је процурио у депонији након што је потрошачки систем за потписивање покварио функционисање.
Према Мицрософт-у:
Због политике задржавања дневника, немамо евиденције са конкретним доказима о овој ексфилтрацији од стране овог актера, али је ово био највероватнији механизам помоћу којег је актер стекао кључ.
Компанија је додала да иако депонија није требало да садржи кључеве за потписивање, услов трке је подстакао његово укључивање. Значајно је да је депонија црасх пребачена са производне мреже компаније на њено корпоративно окружење за отклањање грешака повезано на интернет. Међутим, Мицрософт је назначио да је проблем од тада решен, наводећи да његове методе скенирања акредитива нису откриле присуство нападача.
Анализа: Која је била тежина кршења?
Према Шир Тамари, истраживачу безбедности у Виз-у, пробој кинеских хакера проширио се изван Екцханге Онлине и Оутлоок-а. Истраживач је указао да је кршење омогућило нападачима приступ Мицрософт услугама у облаку.
Широко распрострањен приступ овим услугама значи да би нападачи могли да искористе кључ да имитирају скоро све Мицрософт платформе засноване на облаку, укључујући Оутлоок, СхареПоинт, ОнеДриве и Теамс. Не заборављајући апликације које подржавају аутентификацију Мицрософт налога.
Међутим, Мицрософт је одбацио тврдње да се кључ може користити само у апликацијама које прихватају личне налоге. Ово је заузврат навело компанију да опозове све важеће МСА кључеве за потписивање како би осакатила напоре нападача да приступе компромитованијим кључевима. Исто тако, ово је такође блокирало генерисање нових приступних токена. Коначно, компанија је преместила недавно генерисане приступне токене у складиште кључева које се користи у њеним системима предузећа.
Визов ЦТО и суоснивач, Ами Луттвак, док разговарате са БлеепингЦомпутер делили следећа осећања:
Све у свету Мицрософт-а користи Азуре Ацтиве Дирецтори токене за потврду за приступ. Нападач са ААД кључем за потписивање је најмоћнији нападач којег можете замислити, јер може приступити скоро свакој апликацији – као и сваки корисник. Ово је врхунска суперсила кибернетичке интелигенције која мења облик.
Генерални директор компаније Тенабле Амит Иоран, је више пута прозивао Мицрософт, наводећи недостатак транспарентности у вези са кршењем безбедности и безбедносним праксама.