Αμερικανικό συμβούλιο ασφάλειας στον κυβερνοχώρο για να αναλύσει την παραβίαση κυβερνητικών email του Microsoft Exchange

Η Επιτροπή Ελέγχου Ασφάλειας στον Κυβερνοχώρο (CSRB) του Υπουργείου Εσωτερικής Ασφάλειας ανακοίνωσε σχέδια για διεξαγωγή εις βάθος ανασκόπησης των πρακτικών ασφάλειας cloud μετά από πρόσφατες κινεζικές παραβιάσεις λογαριασμών Microsoft Exchange που χρησιμοποιούνται από κυβερνητικές υπηρεσίες των ΗΠΑ.

Το CSRB είναι μια συνεργασία δημόσιου και ιδιωτικού τομέα, που δημιουργήθηκε για τη διεξαγωγή εις βάθος ερευνών που προσφέρουν καλύτερη κατανόηση των κρίσιμων γεγονότων, διακρίνουν τις βαθύτερες αιτίες και εκδίδουν τεκμηριωμένες συστάσεις για την ασφάλεια στον κυβερνοχώρο.

Σε αυτήν την περίπτωση,

Το CSRB θα διερευνήσει

πώς η κυβέρνηση, η βιομηχανία και οι πάροχοι υπηρεσιών cloud (CSP) μπορούν να ενισχύσουν τη διαχείριση ταυτότητας και τον έλεγχο ταυτότητας στο cloud και να αναπτύξουν συστάσεις για την ασφάλεια στον κυβερνοχώρο που να μπορούν να λειτουργήσουν για όλους τους ενδιαφερόμενους.

Αυτές οι συστάσεις θα διαβιβαστούν στην CISA και στην τρέχουσα κυβέρνηση των ΗΠΑ, η οποία θα αποφασίσει ποιες ενέργειες πρέπει να ληφθούν για την προστασία των κυβερνητικών συστημάτων και λογαριασμών.

«Οι οργανισμοί κάθε είδους βασίζονται όλο και περισσότερο στο cloud computing για την παροχή υπηρεσιών στον αμερικανικό λαό, γεγονός που καθιστά επιτακτική ανάγκη να κατανοήσουμε τα τρωτά σημεία αυτής της τεχνολογίας», δήλωσε ο Alejandro Mayorkas, Υπουργός Εσωτερικής Ασφάλειας.

“Η ασφάλεια στο cloud είναι η ραχοκοκαλιά ορισμένων από τα πιο κρίσιμα συστήματά μας, από τις πλατφόρμες ηλεκτρονικού εμπορίου μέχρι τα εργαλεία επικοινωνίας και τις κρίσιμες υποδομές μας.”

Storm-0558 hacks του Microsoft Exchange

Στα μέσα Ιουλίου 2023, η Microsoft ανέφερε ότι μια κινεζική ομάδα hacking που παρακολουθείται ως “Storm-0558” παραβίασε τους λογαριασμούς email 25 οργανισμών, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών των ΗΠΑ και της Δυτικής Ευρώπης, χρησιμοποιώντας πλαστά διακριτικά ελέγχου ταυτότητας από κλεμμένο κλειδί υπογραφής καταναλωτή της Microsoft.

Χρησιμοποιώντας αυτό το κλεμμένο κλειδί, οι κινέζοι φορείς απειλών εκμεταλλεύτηκαν μια ευπάθεια zero-day στη συνάρτηση GetAccessTokenForResource API για το Outlook Web Access στο Exchange Online (OWA) για να δημιουργήσουν διακριτικά εξουσιοδότησης.

Αυτά τα διακριτικά επέτρεψαν στους παράγοντες της απειλής να μιμούνται τους λογαριασμούς Azure και να έχουν πρόσβαση σε λογαριασμούς email πολλών κυβερνητικών υπηρεσιών και οργανισμών για την παρακολούθηση και την κλοπή email.

Μετά από αυτές τις επιθέσεις, η Microsoft αντιμετώπισε πολλές επικρίσεις επειδή δεν παρείχε επαρκή καταγραφή στους πελάτες της Microsoft δωρεάν. Αντίθετα, η Microsft απαιτούσε από τους πελάτες να αγοράσουν πρόσθετες άδειες για να αποκτήσουν δεδομένα καταγραφής που θα μπορούσαν να βοηθήσουν στον εντοπισμό αυτών των επιθέσεων.

Αφού συνεργάστηκε με την CISA για τον εντοπισμό ζωτικής σημασίας δεδομένων καταγραφής που απαιτούνται για τον εντοπισμό επιθέσεων, η Microsoft ανακοίνωσε ότι τα προσφέρει τώρα δωρεάν σε όλους τους πελάτες της Microsoft.

Η Microsoft ανακάλεσε το κλεμμένο κλειδί υπογραφής και διόρθωσε το ελάττωμα του API για να αποτρέψει περαιτέρω κατάχρηση. Ωστόσο, η έρευνά τους για το περιστατικό απέτυχε να αποκαλύψει πώς ακριβώς οι χάκερ απέκτησαν το κλειδί στην πρώτη θέση.

Δύο εβδομάδες μετά την αρχική ανακάλυψη της παραβίασης, οι ερευνητές του Wiz ανέφεραν ότι η πρόσβαση του Storm-0558 ήταν πολύ ευρύτερη από ό,τι ανέφερε προηγουμένως η Microsoft, συμπεριλαμβανομένων των εφαρμογών Azure AD που λειτουργούν με το OpenID v2.0 της Microsoft.

Ο Wiz αποκάλυψε ότι οι Κινέζοι χάκερ θα μπορούσαν να είχαν χρησιμοποιήσει το παραβιασμένο κλειδί για πρόσβαση σε διάφορες εφαρμογές της Microsoft και σε οποιεσδήποτε εφαρμογές πελατών που υποστήριζαν τον έλεγχο ταυτότητας Λογαριασμού Microsoft, επομένως το περιστατικό ενδέχεται να μην περιορίζεται στην πρόσβαση και την εξαγωγή email από διακομιστές Exchange.

Δεδομένης της σοβαρής φύσης της παραβίασης, των εκτεταμένων ερευνητικών προσπαθειών που απαιτούνται και των ατελών ευρημάτων μέχρι σήμερα, η κυβέρνηση των ΗΠΑ ανέθεσε στην CSRB να διενεργήσει μια ολοκληρωμένη επανεξέταση της υπόθεσης, ελπίζοντας ότι θα παράγει πληροφορίες που θα ενισχύσουν τους χρήστες, τους υπερασπιστές και παρόχους υπηρεσιών έναντι μελλοντικών απειλών.

Οι προηγούμενες αξιολογήσεις της CSRB περιλαμβάνουν τη σειρά των ευρείας επιρροής

τρωτά σημεία στο Log4j

λογισμικό το 2021 και το

δραστηριότητες του Lapsus$

μια ομάδα hacking που διέπρεψε στην παραβίαση εταιρειών του Fortune 500 χρησιμοποιώντας απλές αλλά εξαιρετικά αποτελεσματικές τεχνικές όπως η ανταλλαγή SIM και η κοινωνική μηχανική.