أظهر تحقيق الشركة أن العديد من الأخطاء الأمنية من جانب مايكروسوفت سمحت لممثل تهديد مقره الصين بتزوير رموز المصادقة والوصول إلى البريد الإلكتروني للمستخدم من حوالي 25 من عملاء مؤسسة مايكروسوفت في وقت سابق من هذا العام.
الهجمات من قبل مجموعة تجسس إلكترونية صينية والتي تتبعها Microsoft باسم Storm-0558 كانت جديرة بالملاحظة لأنها تضمنت ممثل التهديد الذي يستخدم مفتاح توقيع المستهلك لحساب Microsoft (MSA) لتزوير رموز Azure AD للوصول إلى حسابات البريد الإلكتروني للمؤسسة. تُستخدم مفاتيح عميل MSA عادةً لتسجيل الدخول بشكل مشفر إلى تطبيق أو خدمة عميل Microsoft مثل Outlook.com وOneDrive وXbox Live.
حملة التجسس السيبراني
يُعتقد أن Storm-0558 هي مجموعة تجسس إلكترونية مرتبطة بالصين وتنشط منذ عام 2021 على الأقل. وشملت أهدافها الكيانات الدبلوماسية الأمريكية والأوروبية، والهيئات التشريعية، وشركات الإعلام، ومقدمي خدمات الإنترنت، والشركات المصنعة لمعدات الاتصالات. في العديد من هجماته، استخدم ممثل التهديد جمع بيانات الاعتماد، وحملات التصيد الاحتيالي، وهجمات رمز OAuth للوصول إلى حسابات البريد الإلكتروني المستهدفة.
اكتشفت Microsoft أحدث حملة للمجموعة في شهر مايو عندما قام أحد العملاء تم الإبلاغ عن نشاط شاذ التي تنطوي على حساب Exchange Server الخاص بهم. أظهر التحقيق الأولي للشركة أن مجموعة التهديد قد وصلت إلى بيانات Exchange عبر الإنترنت الخاصة بالعميل عبر Outlook Web Access. في وقت مبكر، افترضت Microsoft أن الخصم قد حصل بطريقة ما على مفتاح توقيع مؤسسة Azure AD وكان يستخدمه لتزوير الرموز المميزة للمصادقة على Exchange Server. لكن المزيد من التحقيقات أظهرت أن Storn-0558 كان يستخدم في الواقع مفتاح توقيع مستهلك MSA الذي تم الحصول عليه للقيام بتزوير الرمز المميز - وهو الأمر الذي أرجعته الشركة في ذلك الوقت إلى "خطأ في التحقق من الصحة".
في باقة تقرير هذا الأسبوعأصدرت Microsoft نتائج تحقيقها الفني اللاحق الذي استمر لمدة شهرين ونصف في الحادث، والذي يصف بالضبط كيفية تنفيذ سلسلة الهجوم والأخطاء التي تم تصحيحها الآن والتي مكنت الأمر برمته.
سلسلة من الأخطاء المؤسفة
وفقًا للشركة، بدأت المشكلة بحالة سباق تم حلها الآن وأدت إلى وجود مفتاح التوقيع في تفريغ الأعطال.
عادةً، لا يجب أن يفلت مفتاح التوقيع أبدًا من بيئة الإنتاج الآمنة للشركة، والتي تكون معزولة وتتضمن العديد من عناصر التحكم الأمنية. يتضمن ذلك عمليات فحص الخلفية للموظفين، وحسابات الإنتاج المخصصة، ومحطات العمل الآمنة، والمصادقة الثنائية القائمة على رمز الأجهزة. وقالت مايكروسوفت في تقريرها هذا الأسبوع: "إن عناصر التحكم في هذه البيئة تمنع أيضًا استخدام البريد الإلكتروني، والمؤتمرات، وأبحاث الويب، وأدوات التعاون الأخرى، والتي يمكن أن تؤدي إلى عوامل اختراق الحساب الشائعة".
ومع ذلك، لم تكن هذه الضوابط كافية عندما تعطل نظام توقيع مفتاح المستهلك في بيئة الإنتاج في أبريل 2021 وتم تضمين مفتاح التوقيع إما في تفريغ الأعطال أو لقطة للنظام المعطل. عادةً، كان من المفترض أن يتم تنقيح المفتاح من التفريغ، لكن ذلك لم يحدث بسبب حالة السباق. والأسوأ من ذلك، أن أياً من عناصر التحكم في Microsoft لم يكتشف المعلومات الحساسة في ملف تفريغ الأعطال، الأمر الذي انتهى في النهاية إلى فريق تصحيح الأخطاء على شبكة شركة Microsoft المتصلة بالإنترنت. هنا مرة أخرى، فشلت ضوابط الشركة في اكتشاف بيانات الاعتماد في بيئة تصحيح الأخطاء في اكتشاف مفتاح المستهلك المسرب.
كما أوضحت مايكروسوفت، على الرغم من أن بيئة الشركة آمنة، إلا أنها تسمح أيضًا باستخدام البريد الإلكتروني والمؤتمرات وأدوات التعاون الأخرى التي تجعل المستخدمين أكثر عرضة إلى حد ما لهجمات التصيد الاحتيالي والبرامج الضارة لسرقة الرموز المميزة ونواقل الهجوم الأخرى.
في مرحلة ما، تمكن ممثلو Storm-0558 من اختراق حساب شركة أحد مهندسي Microsoft بنجاح واستخدموا وصول الحساب إلى بيئة تصحيح الأخطاء لسرقة البيانات - بما في ذلك المفتاح الهارب - من هناك.
وأوضح سر مفتاح المستهلك
فيما يتعلق بكيفية سماح مفتاح المستهلك للمهاجم بتزوير رموز Azure AD، تشير Microsoft إلى نقطة نهاية مشتركة لنشر بيانات التعريف الرئيسية أنشأتها في سبتمبر 2018. "كجزء من هذا العرض المتقارب، قامت Microsoft بتحديث الوثائق لتوضيح متطلبات التحقق من صحة النطاق الرئيسي - وقالت مايكروسوفت: "ما هو المفتاح الذي يجب استخدامه لحسابات المؤسسات، وما هو المفتاح الذي يجب استخدامه لحسابات المستهلكين".
ولكن هنا مرة أخرى - ولأسباب متنوعة تتعلق بالوثائق الغامضة وتحديثات المكتبة، وواجهات برمجة التطبيقات، وعوامل أخرى - لم يعمل التحقق من صحة النطاق الرئيسي على النحو المنشود. وقالت مايكروسوفت إن النتيجة النهائية هي أن "نظام البريد الإلكتروني سيقبل طلب البريد الإلكتروني للمؤسسة باستخدام رمز أمان موقّع بمفتاح المستهلك".
لمعالجة المشكلة، قامت Microsoft بإزالة حالة السباق التي سمحت بتضمين البيانات الأساسية في عمليات تفريغ الأعطال. وعززت الشركة أيضًا آلياتها لاكتشاف مفاتيح التوقيع في الأماكن التي لا ينبغي أن تكون فيها، بما في ذلك بيئة تصحيح الأخطاء. بالإضافة إلى ذلك، قالت مايكروسوفت إنها قامت بتحسين آلية التحقق من النطاق الآلي الخاصة بها للقضاء على احتمال وقوع حادث مماثل.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- تشارت بريم. ارفع مستوى لعبة التداول الخاصة بك مع ChartPrime. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.darkreading.com/attacks-breaches/microsoft-ids-security-gaps-that-let-threat-actor-steal-signing-key
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 2018
- 2021
- 25
- 7
- a
- استمر
- الوصول
- الوصول
- الوصول
- حسابي
- الحسابات
- المكتسبة
- نشط
- الجهات الفاعلة
- Ad
- إضافة
- العنوان
- مرة أخرى
- سمح
- يسمح
- أيضا
- an
- و
- واجهات برمجة التطبيقات
- تطبيق
- ابريل
- هي
- AS
- يفترض
- At
- مهاجمة
- الهجمات
- التحقّق من المُستخدم
- الآلي
- Azure
- خلفية
- BE
- لان
- كان
- يجري
- يعتقد
- الهيئات
- لكن
- by
- الحملات
- الحملات
- CAN
- سلسلة
- الشيكات
- الصينية
- للاتعاون
- COM
- مشترك
- الشركات
- حول الشركة
- حل وسط
- حالة
- المؤتمرات
- مستهلك
- ضوابط
- منظمة
- تحطم
- تحطم
- الاعتماد
- زبون
- العملاء
- الانترنت
- البيانات
- مخصصة
- الكشف عن
- فعل
- ديدن
- اكتشف
- do
- توثيق
- تفريغ
- في وقت سابق
- في وقت مبكر
- إما
- القضاء
- اقصاء
- البريد الإلكتروني
- الموظفين
- تمكين
- انتهى
- نقطة النهاية
- مهندس
- كاف
- مشروع
- الكيانات
- البيئة
- معدات
- خطأ
- تجسس
- أنشئ
- المجلة الأوروبية
- في النهاية
- بالضبط
- تبادل
- شرح
- حقيقة
- العوامل
- فشل
- النتائج
- في حالة
- إقامة
- تزوير
- تبدأ من
- إضافي
- ربح
- الفجوات
- الحكم
- تجمع
- كان
- يحدث
- أجهزة التبخير
- اﻟﺤﺼﺎد
- يملك
- وجود
- هنا
- كيفية
- لكن
- HTTPS
- ID
- تحسن
- in
- حادث
- تتضمن
- شامل
- بما فيه
- معلومات
- في البداية
- معد
- Internet
- متصل بالإنترنت
- إلى
- تحقيق
- المشاركة
- تنطوي
- معزول
- IT
- انها
- JPG
- القفل
- مفاتيح
- آخر
- قيادة
- الأقل
- تشريعي
- اسمحوا
- المكتبة
- حي
- طويل
- جعل
- البرمجيات الخبيثة
- تمكن
- الشركات المصنعة
- كثير
- مايو..
- آلية
- آليات
- الوسائط
- البيانات الوصفية
- مایکروسافت
- الأخطاء
- الأكثر من ذلك
- سر
- صاف
- شبكة
- أبدا
- بدون اضاءة
- عادة
- جدير بالملاحظة
- أوث
- تم الحصول عليها
- of
- الوهب
- on
- online
- or
- أخرى
- وإلا
- خارج
- بريد اوتلوك
- جزء
- التصيد
- وجهات
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- لعبت
- البوينت
- نقاط
- محتمل
- يقدم
- منع
- المشكلة
- الإنتــاج
- مقدمي
- نشر
- سباق
- الأسباب
- صدر
- تقرير
- طلب
- المتطلبات الأساسية
- بحث
- نتيجة
- s
- قال
- نطاق
- تأمين
- أمن
- رمز الأمان
- حساس
- سبتمبر
- مسلسلات
- الخدمة
- مقدمي الخدمة
- عدة
- ينبغي
- أظهرت
- أظهرت
- إشارة
- وقعت
- التوقيع
- مماثل
- منذ
- لقطة
- بعض
- شيء
- قليلا
- بقعة
- مراقب
- بدأت
- لاحق
- بنجاح
- هذه
- نظام
- الهدف
- الأهداف
- فريق
- تقني
- الاتصالات
- أن
- •
- من مشاركة
- هناك.
- تشبه
- هم
- شيء
- هذا الأسبوع
- هذا العام
- التهديد
- الوقت
- إلى
- رمز
- الرموز
- أدوات
- تتبع الشحنة
- عادة
- يؤسف له
- تحديث
- آخر التحديثات
- us
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- التحقق من صحة
- تشكيلة
- بواسطة
- الضعيفة
- وكان
- الويب
- أسبوع
- كان
- متى
- التي
- في حين
- كامل
- مع
- للعمل
- أسوأ
- سوف
- اكس بوكس
- عام
- زفيرنت