Μια αλυσίδα αποτυχιών της Rube Goldberg οδήγησε σε παραβίαση των κυβερνητικών email που φιλοξενούνται από τη Microsoft

Το πρώτο εξάμηνο του Ιουλίου, η

Microsoft

αποκάλυψε ό

τι

η κινεζική ομάδα χάκερ Storm-0558 είχε αποκτήσει πρόσβαση σε μηνύματα ηλεκτρονικού ταχυδρομείου από περίπου 25 οργανισμούς, συμπεριλαμβανομένων πρακτορείων στην κυβέρνηση των ΗΠΑ. Σήμερα, η εταιρεία είναι

εξηγώντας πώς

Αυτό συνέβη χάρη σε μια σειρά εσωτερικών σφαλμάτων, ενώ υπογραμμίζει έντονα πόσο σοβαρή ευθύνη είναι η διατήρηση της τεράστιας, αναπτυσσόμενης

υποδομή

ς λογισμικού σε έναν όλο και πιο ψηφιακά ανασφαλή κόσμο.

Σύμφωνα με τη σύνοψη της έρευνας της Microsoft, το Storm-0558 μπόρεσε να αποκτήσει πρόσβαση σε εταιρικά και κυβερνητικά μηνύματα ηλεκτρονικού ταχυδρομείου αποκτώντας ένα «κλειδί καταναλωτή λογαριασμού Microsoft», το οποίο τους επέτρεπε να δημιουργήσουν διακριτικά πρόσβασης στους λογαριασμούς των στόχων τους.

Το Storm-0558 απέκτησε το κλειδί αφού μια σειρά γεγονότων σε στυλ μηχανής Rube Goldberg έβαλε το κλειδί κάπου που δεν θα έπρεπε ποτέ να ήταν στην πρώτη θέση. Η εταιρεία γράφει ότι όταν το σύστημα έκανε ένα στιγμιότυπο εντοπισμού σφαλμάτων μιας διαδικασίας που είχε διακοπεί, δεν αφαίρεσε, όπως θα έπρεπε, το λεγόμενο «crash dump» από όλες τις ευαίσθητες πληροφορίες, αφήνοντας το κλειδί μέσα.

Τα συστήματα της Microsoft θα έπρεπε ακόμη να είχαν εντοπίσει το «βασικό υλικό» στο crash dump, αλλά προφανώς δεν το έκαναν. Έτσι, όταν οι μηχανικοί της εταιρείας βρήκαν τη χωματερή, υπέθεσαν ότι δεν είχε ευαίσθητα δεδομένα και τη μετέφεραν, βασικά και όλα, από το «απομονωμένο δίκτυο παραγωγής» στο περιβάλλον εντοπισμού σφαλμάτων της εταιρείας.

Στη συνέχεια, ένα άλλο ασφαλές για αστοχία – μια σάρωση διαπιστευτηρίων που θα έπρεπε επίσης να είχε πιάσει το κλειδί – έχασε ότι το κλειδί ήταν εκεί. Η τελική πύλη έπεσε όταν το Storm-0558 κατάφερε να θέσει σε κίνδυνο τον εταιρικό λογαριασμό ενός μηχανικού της Microsoft, δίνοντας στους χάκερ πρόσβαση στο ίδιο το περιβάλλον εντοπισμού σφαλμάτων που δεν θα έπρεπε ποτέ να είχε το κλειδί για αρχή.

Η Microsoft

γράφει ότι δεν έχει αρχεία καταγραφής που να δείχνουν ότι έτσι το κλειδί ανακατεύτηκε από τα συστήματά της, αλλά λέει ότι είναι το “πιο πιθανό”


διαδρομή που πήραν οι χάκερ.

Υπάρχει ένα τελευταίο λάκτισμα: αυτό ήταν ένα

καταναλωτής

κλειδί, αλλά επιτρέπει στους παράγοντες απειλών να εισέλθουν στους εταιρικούς λογαριασμούς της Microsoft. Η Microsoft λέει ότι άρχισε να χρησιμοποιεί κοινές βασικές δημοσίευση μεταδεδομένων το 2018 ως απάντηση στη ζήτηση για λογισμικό υποστήριξης που λειτουργούσε τόσο σε λογαριασμούς καταναλωτών όσο και σε εταιρικούς λογαριασμούς.

Η εταιρεία πρόσθεσε αυτή την υποστήριξη, αλλά απέτυχε να πραγματοποιήσει τις κατάλληλες ενημερώσεις στα συστήματα που χρησιμοποιούνται για τον έλεγχο ταυτότητας κλειδιών – δηλαδή να καθορίσει αν πρόκειται για κλειδιά καταναλωτών ή για επιχειρήσεις. Οι μηχανικοί συστημάτων αλληλογραφίας, υποθέτοντας ότι είχαν γίνει οι ενημερώσεις, δεν ενσωματώθηκαν πρόσθετος έλεγχος ταυτότητας, αφήνοντας το σύστημα αλληλογραφίας τυφλό για το είδος του κλειδιού που χρησιμοποιήθηκε.

Εν ολίγοις, αυτές οι βιβλιοθήκες είχαν ενημερωθεί σωστά, ακόμη και αν είχαν δοθεί

όλα τα άλλα σημεία αποτυχίας

Οι χάκερ του Storm-0558 ενδέχεται να μην είχαν πρόσβαση στους εταιρικούς λογαριασμούς email που χρησιμοποιούνται από τις εταιρείες που στόχευαν.

Η Microsoft λέει ότι έχει διορθώσει όλα τα παραπάνω ζητήματα, συμπεριλαμβανομένου του σφάλματος που έστειλε το κλειδί υπογραφής στην ένδειξη crash. Η εταιρεία προσθέτει στη δημοσίευσή της ότι «σκληραίνει συνεχώς συστήματα». Η Microsoft δέχεται όλο και περισσότερο πυρά για τις πρακτικές ασφαλείας της, τις οποίες τόσο ο γερουσιαστής Ron Wyden (D-OR) όσο και ο Διευθύνων Σύμβουλος της Tenable Amit Yoran χαρακτήρισαν «αμελείς», με τον Yoran να κατηγορεί τη Microsoft ότι είναι πολύ αργή για να αντιδράσει στα ελαττώματα ασφαλείας της.