Η Microsoft εξηγεί πώς μια κινεζική ομάδα χάκερ μπόρεσε να αποκτήσει πρόσβαση σε κυβερνητικούς λογαριασμούς email
Τον Ιούλιο, η Microsoft αποκάλυψε ότι μια γνωστή κινεζική ομάδα χάκερ με την ετικέτα Storm-0558 είχε πρόσβαση σε κυβερνητικούς λογαριασμούς email στις
Ηνωμένες Πολιτείες
και τη Δυτική Ευρώπη. Η εταιρεία είπε ότι ο όμιλος “χρησιμοποίησε ένα κλειδί MSA που αποκτήθηκε για να σφυρηλατήσει μάρκες για πρόσβαση στο OWA και το Outlook.com”. Προστίθεται, “Ο ηθοποιός εκμεταλλεύτηκε ένα πρόβλημα επικύρωσης διακριτικών για να μιμηθεί τους χρήστες του Azure AD και να αποκτήσει πρόσβαση στην εταιρική αλληλογραφία.”
Η Microsoft ξεκίνησε μια έρευνα σχετικά με τον τρόπο απόκτησης του κλειδιού MSA (Λογαριασμός Microsoft) και πώς ένα κλειδί καταναλωτή μπόρεσε να αποκτήσει πρόσβαση σε εταιρικούς λογαριασμούς ηλεκτρονικού ταχυδρομείου του Outlook. Αυτή την εβδομάδα, η εταιρεία
δημοσίευσε τα ευρήματά του στον ιστότοπο του Κέντρου αποκρίσεων ασφαλείας της Microsoft
.
Η Microsoft λέει ότι ένα συμβάν που συνέβη πριν από δύο χρόνια ήταν η αιτία της πρόσβασης της ομάδας στο κλειδί MSA:
Η έρευνά μας διαπίστωσε ότι μια συντριβή συστήματος υπογραφής καταναλωτή τον Απρίλιο του 2021 οδήγησε σε ένα στιγμιότυπο της διαδικασίας κατάρρευσης (“crash dump”). Τα crash dumps, τα οποία διαγράφουν ευαίσθητες πληροφορίες, δεν πρέπει να περιλαμβάνουν το κλειδί υπογραφής. Σε αυτήν την περίπτωση, μια συνθήκη κούρσας επέτρεψε στο κλειδί να είναι παρόν στο crash dump (αυτό το ζήτημα διορθώθηκε). Η παρουσία του βασικού υλικού στη χωματερή συντριβής δεν εντοπίστηκε από τα συστήματά μας.
Η Microsoft πρόσθεσε ότι τα δεδομένα απόδειξης σφαλμάτων μετακινήθηκαν στη συνέχεια από “μεταφέρθηκαν από το απομονωμένο δίκτυο παραγωγής στο περιβάλλον εντοπισμού σφαλμάτων στο εταιρικό δίκτυο που είναι συνδεδεμένο στο Διαδίκτυο”. που ήταν η τυπική διαδικασία. Ωστόσο, μια σάρωση των δεδομένων απόδειξης σύγκρουσης δεν εντόπισε το κλειδί MSA. Η Microsoft λέει ότι αυτό έχει επίσης διορθωθεί.
Η εταιρεία πιστεύει ότι το Storm-0558 μπόρεσε να πάρει το κλειδί MSA από τα δεδομένα crash dump, θέτοντας σε κίνδυνο έναν εταιρικό λογαριασμό ενός από τους μηχανικούς της Microsoft. Δεν υπάρχουν άμεσες αποδείξεις που να δείχνουν ότι ένας συγκεκριμένος λογαριασμός έχει παραβιαστεί, αλλά η Microsoft πιστεύει ότι “αυτός ήταν ο πιο πιθανός
μηχανισμός
με τον οποίο ο ηθοποιός απέκτησε το κλειδί.”
Τέλος, η εταιρεία πιστεύει ότι το Storm-0558 μπόρεσε να αντιγράψει το κλειδί MSA και να το μετατρέψει σε κλειδί που χρησιμοποιήθηκε για πρόσβαση σε εταιρικούς λογαριασμούς email εξαιτίας ενός σφάλματος κατά την ενημέρωση ενός API:
Ως μέρος μιας προϋπάρχουσας βιβλιοθήκης τεκμηρίωσης και βοηθητικών API, η Microsoft παρείχε ένα API για να βοηθήσει στην κρυπτογραφική επικύρωση των υπογραφών, αλλά δεν ενημέρωσε αυτές τις βιβλιοθήκες ώστε να εκτελείται αυτόματα αυτή η επικύρωση εύρους (αυτό το ζήτημα έχει διορθωθεί). Τα συστήματα αλληλογραφίας ενημερώθηκαν για να χρησιμοποιούν το κοινό τελικό σημείο μεταδεδομένων το
2022
. Οι
προγραμματιστές
στο σύστημα αλληλογραφίας υπέθεσαν εσφαλμένα ότι οι βιβλιοθήκες εκτέλεσαν πλήρη επικύρωση και δεν πρόσθεσαν την απαιτούμενη επικύρωση εκδότη/πεδίου. Έτσι, το σύστημα αλληλογραφίας θα δεχόταν ένα αίτημα για εταιρικό email χρησιμοποιώντας ένα διακριτικό ασφαλείας υπογεγραμμένο με το κλειδί καταναλωτή (αυτό το ζήτημα έχει διορθωθεί χρησιμοποιώντας τις ενημερωμένες βιβλιοθήκες).
Αφού ανακαλύφθηκε το περιστατικό πειρατείας με κυβερνητικούς λογαριασμούς email, η Microsoft απέκλεισε τη χρήση του κλειδιού MSA και επίσης απέκλεισε τη χρήση των διακριτικών που εκδόθηκαν με το κλειδί. Τον Αύγουστο, το Συμβούλιο Αναθεώρησης της Κυβερνοασφάλειας (CSRB) της κυβέρνησης των
ΗΠΑ
ανακοίνωσε ότι θα διεξαγάγει τη δική του έρευνα για το περιστατικό. Θα είναι μέρος μιας συνολικής εξέτασης των χάκερ που επιδιώκουν συστήματα υπολογιστικού νέφους και εταιρείες γενικά.
