Κινέζοι χάκερ παραβίασαν λογαριασμούς χρησιμοποιώντας το κλειδί υπογραφής
Τι πρέπει να ξέρετε
- Η Microsoft βρίσκεται υπό έλεγχο από μια συμβουλευτική επιτροπή για την ασφάλεια στον κυβερνοχώρο μετά την παραβίαση πολλών λογαριασμών που ανήκουν σε αξιωματούχους της κυβέρνησης των ΗΠΑ.
- Η εταιρεία αποκάλυψε τώρα ότι η ομάδα χάκερ, Storm-0558, μπόρεσε να αποκτήσει πρόσβαση σε αυτούς τους λογαριασμούς μέσω ενός κλειδιού υπογραφής από ένα crash dump των Windows.
- Η Microsoft δηλώνει ότι η παραβίαση έχει επιλυθεί και επηρέασε μόνο το Exchange Online και το Outlook.
- Ένας ερευνητής ασφάλειας αντέκρουσε τους ισχυρισμούς αναφέροντας ότι η παραβίαση ήταν πιο διαδεδομένη, επηρεάζοντας τις πλατφόρμες της Microsoft που βασίζονται σε cloud, συμπεριλαμβανομένων των Outlook, SharePoint, OneDrive και Teams.
Πριν από λίγο καιρό, μια συμβουλευτική επιτροπή κυβερνοασφάλειας των ΗΠΑ που ανατέθηκε από την κυβέρνηση του Προέδρου Μπάιντεν ξεκίνησε μια έρευνα για τη Microsoft αφού μια κινεζική ομάδα χάκερ γνωστή ως Storm-0558 κατάφερε να παραβιάσει λογαριασμούς email της Microsoft που ανήκαν σε δύο δωδεκάδες κυβερνητικές υπηρεσίες. Το πάνελ στοχεύει να καθορίσει την ανάμειξη της Microsoft στο θέμα, με εικασίες ότι μπορεί να υπάρχουν περισσότερα στην ιστορία και η εταιρεία είναι λιγότερο διαφανής σχετικά με αυτό.
Ενώ η Microsoft μπόρεσε να μετριάσει το πρόβλημα, δεν παρείχε λεπτομερή λογαριασμό που να επισημαίνει πώς συνέβη το περιστατικό και πώς οι εισβολείς μπόρεσαν να αποκτήσουν πρόσβαση στα διαπιστευτήρια.
Σύμφωνα με νέα αναφορά του BleepingComputerη Microsoft έχει υποδείξει ότι το Storm-0558 μπόρεσε να αποκτήσει πρόσβαση στα διαπιστευτήρια των αξιωματούχων κλέβοντας ένα κλειδί υπογραφής από μια χωματερή σφαλμάτων των Windows μετά από παραβίαση του εταιρικού λογαριασμού ενός μηχανικού της Microsoft.
Οι χάκερ χρησιμοποίησαν το κλειδί για να παραβιάσουν λογαριασμούς Exchange Online και Azure Active Directory που ανήκουν σε πολλούς οργανισμούς. Κυβερνητικές υπηρεσίες με έδρα τις ΗΠΑ, συμπεριλαμβανομένων των Υπουργείων Εξωτερικών και Εμπορίου των ΗΠΑ, ήταν μεταξύ των μερών που επλήγησαν από την παραβίαση. Αυτό προκάλεσε πολλά φρύδια, συμπεριλαμβανομένου του γερουσιαστή Ron Wyden, ο οποίος έγραψε μια επιστολή στις 27 Ιουλίου ζητώντας από το Συμβούλιο Αναθεώρησης Κυβερνοασφάλειας να διερευνήσει το θέμα.
Η Microsoft διευκρίνισε περαιτέρω ότι η κινεζική ομάδα χάκερ χρησιμοποίησε ένα ζήτημα επικύρωσης μηδενικής ημέρας στο GetAccessTokenForResourceAPI που έκτοτε έχει μετριαστεί για να πλαστογραφήσει υπογεγραμμένα διακριτικά πρόσβασης, επιτρέποντάς τους έτσι να πλαστοπροσωπήσουν τους λογαριασμούς των αξιωματούχων.
Η εταιρεία διευκρίνισε επίσης ότι το κλειδί MSA που χρησιμοποιήθηκε για την παραβίαση των λογαριασμών των αξιωματούχων χρονολογείται από τον Απρίλιο του 2021, όταν διέρρευσε σε χωματερή μετά από δυσλειτουργία του συστήματος υπογραφής ενός καταναλωτή.
Σύμφωνα με τη Microsoft:
Λόγω των πολιτικών διατήρησης αρχείων καταγραφής, δεν έχουμε αρχεία καταγραφής με συγκεκριμένα στοιχεία αυτής της διείσδυσης από αυτόν τον ηθοποιό, αλλά αυτός ήταν ο πιο πιθανός μηχανισμός με τον οποίο ο ηθοποιός απέκτησε το κλειδί.
Η εταιρεία πρόσθεσε ότι ενώ η χωματερή δεν θα έπρεπε να έχει τα κλειδιά υπογραφής, μια συνθήκη αγώνα οδήγησε τη συμπερίληψή της. Συγκεκριμένα, το crash dump μεταφέρθηκε από το δίκτυο παραγωγής της εταιρείας στο εταιρικό περιβάλλον εντοπισμού σφαλμάτων που είναι συνδεδεμένο στο Διαδίκτυο. Ωστόσο, η Microsoft δήλωσε ότι το ζήτημα έχει επιλυθεί από τότε, αναφέροντας ότι οι μέθοδοι σάρωσης διαπιστευτηρίων της δεν εντόπισαν καμία παρουσία των εισβολέων.
Ανάλυση: Ποια ήταν η σοβαρότητα της παραβίασης;
Σύμφωνα με τον Shir Tamari, ερευνητή ασφαλείας στο Wiz, η παραβίαση από τους Κινέζους χάκερ εξαπλώθηκε πέρα από το Exchange Online και το Outlook. Ο ερευνητής ανέφερε ότι η παραβίαση παρείχε στους εισβολείς πρόσβαση στις υπηρεσίες cloud της Microsoft.
Η ευρεία πρόσβαση σε αυτές τις υπηρεσίες σημαίνει ότι οι εισβολείς θα μπορούσαν να αξιοποιήσουν το κλειδί για να μιμηθούν σχεδόν όλες τις πλατφόρμες της Microsoft που βασίζονται σε cloud, συμπεριλαμβανομένων των Outlook, SharePoint, OneDrive και Teams. Μην ξεχνάτε τις εφαρμογές που υποστηρίζουν έλεγχο ταυτότητας λογαριασμού Microsoft.
Ωστόσο, η Microsoft διέψευσε τους ισχυρισμούς ότι το κλειδί θα μπορούσε να χρησιμοποιηθεί μόνο σε εφαρμογές που δέχονται προσωπικούς λογαριασμούς. Αυτό, με τη σειρά του, ώθησε την εταιρεία να ανακαλέσει όλα τα έγκυρα κλειδιά υπογραφής MSA για να ακρωτηριάσει τις προσπάθειες των εισβολέων να αποκτήσουν πρόσβαση σε περισσότερα παραβιασμένα κλειδιά. Ομοίως, αυτό εμπόδισε επίσης τη δημιουργία νέων διακριτικών πρόσβασης. Τέλος, η εταιρεία μετέφερε τα κουπόνια πρόσβασης που δημιουργήθηκαν πρόσφατα στο κατάστημα κλειδιών που χρησιμοποιείται στα εταιρικά της συστήματα.
Η CTO και συνιδρυτής της Wiz, Ami Luttwak, μιλώντας στο BleepingComputer μοιράστηκε τα ακόλουθα συναισθήματα:
Τα πάντα στον κόσμο της Microsoft αξιοποιούν τα διακριτικά ελέγχου ταυτότητας του Azure Active Directory για πρόσβαση. Ένας εισβολέας με κλειδί υπογραφής AAD είναι ο πιο ισχυρός εισβολέας που μπορείτε να φανταστείτε, επειδή μπορεί να έχει πρόσβαση σχεδόν σε οποιαδήποτε εφαρμογή – όπως κάθε χρήστης. Αυτή είναι η υπέρτατη υπερδύναμη του σχήματος αλλαγής νοημοσύνης στον κυβερνοχώρο.
Διευθύνων Σύμβουλος Amit Yoranέχει επικαλεστεί τη Microsoft πολλές φορές, επικαλούμενη την έλλειψη διαφάνειας σχετικά με τις παραβιάσεις ασφάλειας και τις πρακτικές ασφαλείας.