מספר טעויות אבטחה מצידה של מיקרוסופט אפשרו לשחקן איום בסין לזייף אסימוני אימות ולגשת לדוא"ל משתמש מכ-25 לקוחות ארגוניים של מיקרוסופט מוקדם יותר השנה, כך עולה מחקירת החברה.
ההתקפות על ידי קבוצת ריגול סייבר סינית שמיקרוסופט עוקבת אחריה כ-Storm-0558 היו ראויים לציון מכיוון שהם היו מעורבים בשחקן האיום באמצעות מפתח חתימה לצרכן של חשבון Microsoft (MSA) כדי לזייף אסימוני Azure AD לגישה לחשבונות דוא"ל ארגוניים. מפתחות צרכנים MSA משמשים בדרך כלל לכניסה קריפטוגרפית ליישום או שירות של Microsoft לצרכנים כגון Outlook.com, OneDrive ו-Xbox Live.
קמפיין ריגול סייבר
על פי ההערכות, Storm-0558 היא קבוצת ריגול סייבר הקשורה לסין הפעילה מאז 2021 לפחות. יעדיה כללו גופים דיפלומטיים בארה"ב ואירופה, גופי שלטון מחוקקים, חברות מדיה, ספקי שירותי אינטרנט ויצרני ציוד טלקומוניקציה. ברבות מההתקפות שלו, שחקן האיום השתמש בקצירת אישורים, מסעות פרסום דיוג והתקפות אסימון OAuth כדי לקבל גישה לחשבונות דוא"ל יעד.
מיקרוסופט גילתה את הקמפיין האחרון של הקבוצה במאי כאשר לקוח דיווח על פעילות חריגה כולל חשבון Exchange Server שלהם. החקירה הראשונית של החברה הראתה שקבוצת האיומים ניגשה לנתוני Exchange המקוון של הלקוח באמצעות Outlook Web Access. בשלב מוקדם, מיקרוסופט הניחה שהיריב השיג איכשהו מפתח חתימה ארגוני של Azure AD והשתמש בו כדי לזייף אסימונים לאימות ל-Exchange Server. אבל חקירה נוספת הראתה ש-Storn-0558 למעשה השתמשה במפתח חתימת צרכן MSA שנרכש כדי לבצע את זיוף האסימון - דבר שהחברה ייחסה בזמנו ל"שגיאת אימות".
ב לדווח השבוע, מיקרוסופט פרסמה את ממצאי החקירה הטכנית שלאחר מכן, בת חודשיים וחצי, על התקרית, המתארת בדיוק כיצד שרשרת התקיפה התנהלה ואת הטעויות שתוקנו כעת שאפשרו את כל העניין.
סדרה של שגיאות מצערות
לדברי החברה, הבעיה התחילה במצב מרוץ שנפתר כעת, שהביא לכך שמפתח החתימה היה נוכח במזבלה התרסקות.
בדרך כלל, מפתח החתימה לעולם לא היה צריך לחמוק מסביבת הייצור המאובטחת אחרת של החברה, המבודדת ומשלבת מספר בקרות אבטחה. אלה כוללים בדיקות רקע לעובדים, חשבונות ייצור ייעודיים, תחנות עבודה מאובטחות ואימות דו-גורמי מבוסס אסימון חומרה. "הבקרות בסביבה זו גם מונעות שימוש בדוא"ל, שיחות ועידה, מחקר אינטרנט וכלי שיתוף פעולה אחרים, שיכולים להוביל לוקטורים נפוצים של פגיעה בחשבון", אמרה מיקרוסופט בדו"ח שלה השבוע.
עם זאת, בקרות אלה לא הספיקו כאשר מערכת חתימת מפתחות לצרכן בסביבת הייצור קרסה באפריל 2021 ומפתח חתימה נכלל במזבלה של התרסקות או בתמונת מצב של המערכת שהתרסקה. בדרך כלל, המפתח היה צריך להיות משוחק מהמזבלה, אבל זה לא קרה בגלל מצב המירוץ. גרוע מכך, אף אחת מהפקדים של מיקרוסופט לא זיהתה את המידע הרגיש במזבלה של קריסה, שבסופו של דבר הגיעה לצוות איתור הבאגים ברשת הארגונית המחוברת לאינטרנט של מיקרוסופט. גם כאן, הבקרות של החברה לאיתור נתוני אישורים בסביבת ניפוי הבאגים לא הצליחו לזהות את מפתח הצרכן שדלף.
כפי שהסבירה זאת מיקרוסופט, בעוד שהסביבה הארגונית של החברה מאובטחת, היא גם מאפשרת שימוש בכלי אימייל, שיחות ועידה וכלי שיתוף פעולה אחרים שהופכים את המשתמשים לפגיעים יותר למתקפות דיוג חנית, תוכנות זדוניות גניבת אסימונים ווקטורי התקפה אחרים.
בשלב מסוים, שחקני Storm-0558 הצליחו לסכן בהצלחה את החשבון הארגוני של מהנדס מיקרוסופט והשתמשו בגישה של החשבון לסביבת ניפוי הבאגים כדי לגנוב משם נתונים - כולל מפתח הבורח.
תעלומת מפתח הצרכן מוסברת
לגבי האופן שבו מפתח צרכן איפשר לתוקף לזייף אסימוני Azure AD, מיקרוסופט מצביעה על נקודת קצה נפוצה לפרסום מטא-נתונים מפתח שהקימה בספטמבר 2018. "כחלק מההצעה המתכנסת הזו, מיקרוסופט עדכנה תיעוד כדי להבהיר את הדרישות לאימות היקף מפתח - באיזה מפתח להשתמש עבור חשבונות ארגוניים, ובאיזה להשתמש עבור חשבונות צרכנים", אמרה מיקרוסופט.
אבל גם כאן - וממגוון סיבות הקשורות לתיעוד מעורפל ועדכוני ספרייה, ממשקי API וגורמים אחרים - אימות היקף המפתח לא פעל כמתוכנן. התוצאה נטו הייתה ש"מערכת הדואר האלקטרוני תקבל בקשה לאימייל ארגוני באמצעות אסימון אבטחה שנחתם עם מפתח הצרכן", אמרה מיקרוסופט.
כדי לטפל בבעיה, מיקרוסופט ביטלה את תנאי המירוץ שאיפשר לכלול את נתוני המפתח במזבלות התרסקות. החברה גם הגדילה את המנגנונים שלה לזיהוי מפתחות חתימה במקומות שבהם הם לא אמורים להיות, כולל בסביבת ניפוי הבאגים. בנוסף, מיקרוסופט אמרה שהיא שיפרה את מנגנון אימות ההיקף האוטומטי שלה כדי למנוע את הפוטנציאל לתקלה דומה.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/attacks-breaches/microsoft-ids-security-gaps-that-let-threat-actor-steal-signing-key
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 2018
- 2021
- 25
- 7
- a
- לְקַבֵּל
- גישה
- נצפה
- גישה
- חֶשְׁבּוֹן
- חשבונות
- נרכש
- פעיל
- שחקנים
- Ad
- תוספת
- כתובת
- שוב
- מותר
- מאפשר
- גם
- an
- ו
- ממשקי API
- בקשה
- אַפּרִיל
- ARE
- AS
- להניח
- At
- לתקוף
- המתקפות
- אימות
- אוטומטי
- תכלת
- רקע
- BE
- כי
- היה
- להיות
- האמין
- גופים
- אבל
- by
- מבצע
- קמפיינים
- CAN
- שרשרת
- בדיקות
- סינית
- שיתוף פעולה
- COM
- Common
- חברות
- חברה
- פשרה
- מצב
- ועידה
- צרכן
- בקרות
- משותף
- להתרסק
- התרסק
- תְעוּדָה
- לקוח
- לקוחות
- סייבר
- נתונים
- מוקדש
- זוהה
- DID
- לא
- גילה
- do
- תיעוד
- שפך
- מוקדם יותר
- מוקדם
- או
- בוטל
- בוטלו
- אמייל
- עובדים
- מופעל
- הסתיים
- נקודת קצה
- מהנדס
- מספיק
- מִפְעָל
- ישויות
- סביבה
- ציוד
- שגיאה
- ריגול
- נוסד
- אֵירוֹפִּי
- בסופו של דבר
- בדיוק
- חליפין
- מוסבר
- עובדה
- גורמים
- נכשל
- ממצאים
- בעד
- לחשל
- חשול
- החל מ-
- נוסף
- לְהַשִׂיג
- פערים
- שלטון
- קְבוּצָה
- היה
- לקרות
- חומרה
- קְצִיר
- יש
- יש
- כאן
- איך
- אולם
- HTTPS
- ID
- משופר
- in
- תקרית
- לכלול
- כלול
- כולל
- מידע
- בתחילה
- התכוון
- אינטרנט
- מחובר לאינטרנט
- אל תוך
- חקירה
- מעורב
- מעורב
- מְבוּדָד
- IT
- שֶׁלָה
- jpg
- מפתח
- מפתחות
- האחרון
- עוֹפֶרֶת
- הכי פחות
- חקיקה
- לתת
- סִפְרִיָה
- לחיות
- ארוך
- לעשות
- תוכנות זדוניות
- הצליח
- התעשיינים
- רב
- מאי..
- מנגנון
- מנגנוני
- מדיה
- מידע נוסף
- מיקרוסופט
- טעויות
- יותר
- תעלומה
- נטו
- רשת
- לעולם לא
- ללא חתימה
- בדרך כלל
- ראוי לציון
- oauth
- מושג
- of
- הצעה
- on
- באינטרנט
- or
- אחר
- אַחֶרֶת
- הַחוּצָה
- Outlook
- חלק
- דיוג
- מקומות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- שיחק
- נקודה
- נקודות
- פוטנציאל
- להציג
- למנוע
- בעיה
- הפקה
- ספקים
- הוצאה לאור
- גזע
- סיבות
- שוחרר
- לדווח
- לבקש
- דרישות
- מחקר
- תוצאה
- s
- אמר
- היקף
- לבטח
- אבטחה
- בטח
- רגיש
- סֶפּטֶמבֶּר
- סדרה
- שרות
- ספקי שירות
- כמה
- צריך
- הראה
- הראה
- סִימָן
- חָתוּם
- חתימה
- דומה
- since
- תמונת בזק
- כמה
- משהו
- במידה מסוימת
- מסחרי
- תצפית
- החל
- לאחר מכן
- בהצלחה
- כזה
- מערכת
- יעד
- מטרות
- נבחרת
- טכני
- התקשורת
- זֶה
- השמיים
- שֶׁלָהֶם
- שם.
- אלה
- הֵם
- דבר
- זֶה
- השבוע
- השנה
- איום
- זמן
- ל
- אסימון
- מטבעות
- כלים
- מעקב
- בדרך כלל
- חסר מזל
- מְעוּדכָּן
- עדכונים
- us
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- אימות
- מגוון
- באמצעות
- פגיע
- היה
- אינטרנט
- שבוע
- היו
- מתי
- אשר
- בזמן
- כל
- עם
- תיק עבודות
- גרוע יותר
- היה
- Xbox
- שנה
- זפירנט