Χάκερ έκλεψαν το κλειδί υπογραφής της Microsoft από το crash dump των Windows

Η Microsoft λέει ότι οι Κινέζοι χάκερς Storm-0558 έκλεψαν ένα κλειδί υπογραφής που χρησιμοποιήθηκε για την παραβίαση των κυβερνητικών λογαριασμών email από ένα crash dump των Windows, αφού παραβίασαν τον εταιρικό λογαριασμό ενός μηχανικού της Microsoft.

Οι εισβολείς χρησιμοποίησαν το κλεμμένο κλειδί MSA για να παραβιάσουν τους λογαριασμούς Exchange Online και Azure Active Directory (AD) περίπου δώδεκα οργανισμών, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών στις Ηνωμένες Πολιτείες, όπως το Υπουργείο Πολιτείας και Εμπορίου των ΗΠΑ.

Εκμεταλλεύτηκαν ένα πρόβλημα επικύρωσης μηδενικής ημέρας που είχε πλέον επιδιορθωθεί στο GetAccessTokenForResourceAPI, το οποίο τους επέτρεψε να πλαστογραφούν υπογεγραμμένα διακριτικά πρόσβασης και να πλαστοπροσωπήσουν λογαριασμούς εντός των στοχευμένων οργανισμών.

Κατάδυση crash dump windows

Κατά τη διερεύνηση της επίθεσης του Storm-0558, η Microsoft διαπίστωσε ότι το κλειδί MSA διέρρευσε σε ένα crash dump μετά τη συντριβή ενός συστήματος υπογραφής καταναλωτή τον Απρίλιο του 2021.

Παρόλο που το crash dump δεν θα έπρεπε να περιλαμβάνει κλειδιά υπογραφής, μια συνθήκη αγώνα οδήγησε στην προσθήκη του κλειδιού. Αυτό το crash dump μεταφέρθηκε αργότερα από το απομονωμένο δίκτυο παραγωγής της εταιρείας στο εταιρικό περιβάλλον εντοπισμού σφαλμάτων που είναι συνδεδεμένο στο διαδίκτυο.

Οι παράγοντες της απειλής βρήκαν το κλειδί μετά από επιτυχή παραβίαση του εταιρικού λογαριασμού ενός μηχανικού της Microsoft, ο οποίος είχε πρόσβαση στο περιβάλλον εντοπισμού σφαλμάτων που περιείχε το κλειδί που περιλαμβανόταν λανθασμένα στην ένδειξη σφαλμάτων του Απριλίου 2021.

“Λόγω των πολιτικών διατήρησης αρχείων καταγραφής, δεν έχουμε αρχεία καταγραφής με συγκεκριμένα στοιχεία αυτής της διείσδυσης από αυτόν τον ηθοποιό, αλλά αυτός ήταν ο πιο πιθανός

μηχανισμός

με τον οποίο ο ηθοποιός απέκτησε το κλειδί.”

Η Microsoft αποκάλυψε σήμερα

.

“Οι μέθοδοι σάρωσης διαπιστευτηρίων μας δεν εντόπισαν την παρουσία τους (αυτό το ζήτημα έχει διορθωθεί).”

Ευρεία πρόσβαση στις

υπηρεσίες

cloud της Microsoft

Ενώ η Microsoft είπε όταν αποκάλυψε το περιστατικό τον Ιούλιο ότι επηρεάστηκαν μόνο το Exchange Online και το

Outlook

, ο ερευνητής ασφάλειας του Wiz, Shir Tamari είπε αργότερα ότι το παραβιασμένο κλειδί υπογραφής καταναλωτή της Microsoft παρείχε ευρεία πρόσβαση στο Storm-0558 στις υπηρεσίες cloud της Microsoft.

Όπως είπε ο Tamari, το κλειδί θα μπορούσε να χρησιμοποιηθεί για την πλαστοπροσωπία οποιουδήποτε λογαριασμού σε οποιονδήποτε επηρεασμένο πελάτη ή εφαρμογή της Microsoft που βασίζεται στο cloud.

“Αυτό περιλαμβάνει διαχειριζόμενες εφαρμογές της Microsoft, όπως το Outlook, το SharePoint, το OneDrive και το

Teams

, καθώς και εφαρμογές πελατών που υποστηρίζουν έλεγχο ταυτότητας λογαριασμού Microsoft, συμπεριλαμβανομένων εκείνων που επιτρέπουν τη λειτουργία “Σύνδεση με τη Microsoft””, είπε ο Tamari.

“Τα πάντα στον κόσμο της Microsoft αξιοποιούν τα διακριτικά ελέγχου ταυτότητας του Azure Active Directory για πρόσβαση”, δήλωσε ο CTO και η συνιδρυτής της Wiz, Ami Luttwak, στο BleepingComputer.

“Ένας εισβολέας με κλειδί υπογραφής AAD είναι ο πιο ισχυρός εισβολέας που μπορείς να φανταστείς, επειδή μπορεί να έχει πρόσβαση σχεδόν σε οποιαδήποτε εφαρμογή – όπως κάθε χρήστης. Αυτή είναι η απόλυτη υπερδύναμη του shape shifter της κυβερνο νοημοσύνης.”

“Το πιστοποιητικό του παλιού δημόσιου κλειδιού αποκάλυψε ότι εκδόθηκε στις 5 Απριλίου 2016 και έληξε στις 4 Απριλίου 2021”, πρόσθεσε ο Tamari.

Ο Ρέντμοντ είπε αργότερα στο BleepingComputer ότι το παραβιασμένο κλειδί θα μπορούσε να χρησιμοποιηθεί μόνο για τη στόχευση εφαρμογών που δέχονταν προσωπικούς λογαριασμούς και είχαν το σφάλμα επικύρωσης που εκμεταλλεύτηκαν οι Κινέζοι χάκερ.

Ως απάντηση στην παραβίαση ασφαλείας, η Microsoft ανακάλεσε όλα τα έγκυρα κλειδιά υπογραφής MSA για να αποτρέψει τους φορείς απειλής από την πρόσβαση σε άλλα παραβιασμένα κλειδιά. Αυτό το βήμα εμπόδισε επίσης αποτελεσματικά τυχόν πρόσθετες προσπάθειες για τη δημιουργία νέων διακριτικών πρόσβασης. Επιπλέον, η Microsoft μετέφερε τα κουπόνια πρόσβασης που δημιουργήθηκαν πρόσφατα στο κατάστημα κλειδιών που χρησιμοποιείται από τα εταιρικά της συστήματα.

Μετά την ανάκληση του κλεμμένου κλειδιού υπογραφής, η Microsoft δεν βρήκε πρόσθετα στοιχεία μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς πελατών που χρησιμοποιούν την ίδια τεχνική σφυρηλάτησης διακριτικού εξουσιοδότησης.

Υπό την πίεση της

CISA

, η Microsoft συμφώνησε επίσης να επεκτείνει την πρόσβαση σε δεδομένα καταγραφής cloud δωρεάν για να βοηθήσει τους υπερασπιστές του δικτύου να εντοπίσουν παρόμοιες απόπειρες παραβίασης στο μέλλον.

Πριν από αυτό, τέτοιες δυνατότητες καταγραφής ήταν διαθέσιμες μόνο σε πελάτες με άδειες καταγραφής Purview Audit (Premium). Ως αποτέλεσμα, ο Ρέντμοντ αντιμετώπισε ουσιαστική κριτική επειδή εμποδίζει τους οργανισμούς να ανιχνεύουν έγκαιρα τις επιθέσεις του Storm-0558.