Modern technology gives us many things.

Το κλεμμένο κλειδί της Microsoft προσέφερε ευρεία πρόσβαση στις υπηρεσίες cloud της Microsoft

Το κλειδί υπογραφής καταναλωτών της Microsoft που κλάπηκε από Κινέζους χάκερ του Storm-0558 τους παρείχε πρόσβαση πολύ πέρα ​​από τους λογαριασμούς Exchange Online και Outlook.com που ο Redmond είπε ότι είχαν παραβιαστεί, σύμφωνα με ερευνητές ασφαλείας της Wiz.

Ο Redmond αποκάλυψε στις 12 Ιουλίου ότι οι εισβολείς είχαν παραβιάσει τους λογαριασμούς Exchange Online και Azure Active Directory (AD) περίπου δώδεκα οργανισμών. Αυτό επιτεύχθηκε με την εκμετάλλευση ενός ζητήματος επικύρωσης μηδενικής ημέρας που έχει πλέον επιδιορθωθεί στο GetAccessTokenForResourceAPI, επιτρέποντάς τους να πλαστογραφούν υπογεγραμμένα διακριτικά πρόσβασης και να πλαστοπροσωπήσουν λογαριασμούς εντός των στοχευμένων οργανισμών.

Οι επηρεαζόμενες οντότητες περιελάμβαναν κυβερνητικές υπηρεσίες στις περιοχές των ΗΠΑ και της Δυτικής Ευρώπης, με τα Υπουργεία Εξωτερικών και Εμπορίου των ΗΠΑ ανάμεσα τους.

Την Παρασκευή, η ερευνήτρια ασφαλείας της Wiz, Shir Tamari είπε ότι ο αντίκτυπος επεκτάθηκε σε όλες τις εφαρμογές Azure AD που λειτουργούν με το OpenID v2.0 της Microsoft. Αυτό οφειλόταν στην ικανότητα του κλεμμένου κλειδιού να υπογράφει οποιοδήποτε διακριτικό πρόσβασης OpenID v2.0 για προσωπικούς λογαριασμούς (π.χ. Xbox, Skype) και εφαρμογές AAD πολλαπλών ενοικιαστών.

Η Microsoft διευκρίνισε μετά τη δημοσίευση αυτού του άρθρου ότι επηρέασε μόνο αυτούς που δέχονταν προσωπικούς λογαριασμούς και είχαν το σφάλμα επικύρωσης.

Ενώ η Microsoft είπε ότι επηρεάστηκαν μόνο το Exchange Online και το Outlook, η Wiz λέει ότι οι φορείς απειλών θα μπορούσαν να χρησιμοποιήσουν το παραβιασμένο κλειδί υπογραφής καταναλωτή της Microsoft για να πλαστοπροσωπήσουν οποιονδήποτε λογαριασμό σε οποιονδήποτε επηρεασμένο πελάτη ή εφαρμογή της Microsoft που βασίζεται στο cloud.

“Αυτό περιλαμβάνει διαχειριζόμενες εφαρμογές της Microsoft, όπως το Outlook, το SharePoint, το OneDrive και το Teams, καθώς και εφαρμογές πελατών που υποστηρίζουν έλεγχο ταυτότητας λογαριασμού Microsoft, συμπεριλαμβανομένων εκείνων που επιτρέπουν τη λειτουργία “Σύνδεση με τη Microsoft””, είπε ο Tamari.

“Τα πάντα στον κόσμο της Microsoft αξιοποιούν τα διακριτικά ελέγχου ταυτότητας του Azure Active Directory για πρόσβαση”, δήλωσε ο CTO και η συνιδρυτής της Wiz, Ami Luttwak, στο BleepingComputer.

“Ένας εισβολέας με κλειδί υπογραφής AAD είναι ο πιο ισχυρός εισβολέας που μπορείς να φανταστείς, επειδή μπορεί να έχει πρόσβαση σχεδόν σε οποιαδήποτε εφαρμογή – όπως κάθε χρήστης. Αυτή είναι η απόλυτη υπερδύναμη του shape shifter της κυβερνο νοημοσύνης.”

Παραβιασμένος αντίκτυπος του κλειδιού υπογραφής της Microsoft
Παραβιασμένος αντίκτυπος του κλειδιού υπογραφής της Microsoft (Wiz)

​Σε απάντηση στην παραβίαση ασφαλείας, η Microsoft ανακάλεσε όλα τα έγκυρα κλειδιά υπογραφής MSA για να διασφαλίσει ότι οι φορείς απειλής δεν είχαν πρόσβαση σε άλλα παραβιασμένα κλειδιά.

Αυτό το μέτρο απέτρεψε επίσης οποιεσδήποτε προσπάθειες δημιουργίας νέων διακριτικών πρόσβασης. Επιπλέον, ο Redmond μετέφερε τα νέα διακριτικά πρόσβασης που δημιουργήθηκαν στο κατάστημα κλειδιών για τα εταιρικά συστήματα της εταιρείας.

Μετά την ακύρωση του κλεμμένου κλειδιού υπογραφής, η Microsoft δεν βρήκε άλλα στοιχεία που να υποδηλώνουν πρόσθετη μη εξουσιοδοτημένη πρόσβαση στους λογαριασμούς των πελατών της χρησιμοποιώντας την ίδια τεχνική σφυρηλάτησης διακριτικού ελέγχου.

Επιπλέον, η Microsoft ανέφερε ότι παρατήρησε μια αλλαγή στις τακτικές του Storm-0558, δείχνοντας ότι οι παράγοντες της απειλής δεν είχαν πλέον πρόσβαση σε κανένα κλειδί υπογραφής.

Τελευταίο αλλά εξίσου σημαντικό, η εταιρεία αποκάλυψε την περασμένη Παρασκευή ότι ακόμα δεν γνωρίζει πώς οι Κινέζοι χάκερ έκλεψαν το κλειδί υπογραφής καταναλωτών της Microsoft. Ωστόσο, μετά από πίεση από την CISA, συμφώνησαν να επεκτείνουν την πρόσβαση σε δεδομένα καταγραφής cloud δωρεάν για να βοηθήσουν τους υπερασπιστές να εντοπίσουν παρόμοιες προσπάθειες παραβίασης στο μέλλον.

Πριν από αυτό, αυτές οι δυνατότητες καταγραφής ήταν διαθέσιμες μόνο σε πελάτες της Microsoft που πλήρωναν για άδεια καταγραφής Purview Audit (Premium). Ως αποτέλεσμα, η Microsoft αντιμετώπισε σημαντική κριτική επειδή εμποδίζει τους οργανισμούς να εντοπίζουν έγκαιρα επιθέσεις Storm-0558.

«Σε αυτό το στάδιο, είναι δύσκολο να προσδιοριστεί η πλήρης έκταση του συμβάντος, καθώς υπήρχαν εκατομμύρια εφαρμογές που ήταν δυνητικά ευάλωτες, τόσο οι εφαρμογές της Microsoft όσο και οι εφαρμογές πελατών, και η πλειονότητα από αυτές δεν διαθέτουν επαρκή αρχεία καταγραφής για να προσδιοριστεί εάν είχαν παραβιαστεί ή όχι», κατέληξε σήμερα η Tamari.

Ενημέρωση 22/7/23: Ενημερωμένο άρθρο με διευκρινίσεις από τη Microsoft.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση