Dochodzenie przeprowadzone przez firmę wykazało, że kilka błędów w zakresie bezpieczeństwa ze strony Microsoft umożliwiło chińskiemu ugrupowaniu cyberprzestępczemu sfałszowanie tokenów uwierzytelniających i uzyskanie dostępu do poczty elektronicznej użytkowników od około 25 klientów korporacyjnych Microsoft.
Ataki przez chińską grupę cyberszpiegowską, którą Microsoft śledzi jako Storm-0558, były godne uwagi, ponieważ dotyczyły ugrupowania zagrażającego używającego klucza podpisywania konta Microsoft (MSA) do fałszowania tokenów usługi Azure AD w celu uzyskania dostępu do firmowych kont e-mail. Klucze konsumenckie MSA są zwykle używane do kryptograficznego logowania się do aplikacji lub usług konsumenckich firmy Microsoft, takich jak Outlook.com, OneDrive i Xbox Live.
Kampania cyberszpiegowska
Uważa się, że Storm-0558 to grupa cyberszpiegowska powiązana z Chinami, która działa co najmniej od 2021 r. Jej celami są amerykańskie i europejskie jednostki dyplomatyczne, organy ustawodawcze, firmy medialne, dostawcy usług internetowych i producenci sprzętu telekomunikacyjnego. W wielu swoich atakach podmiot zagrażający wykorzystywał gromadzenie danych uwierzytelniających, kampanie phishingowe i ataki tokenami OAuth w celu uzyskania dostępu do docelowych kont e-mail.
Microsoft odkrył najnowszą kampanię grupy w maju, kiedy klient zgłosiła anomalną aktywność związane z ich kontem Exchange Server. Wstępne dochodzenie przeprowadzone przez firmę wykazało, że grupa zagrażająca uzyskała dostęp do danych online klienta Exchange za pośrednictwem programu Outlook Web Access. Na początku Microsoft założył, że przeciwnik w jakiś sposób uzyskał klucz podpisywania przedsiębiorstwa usługi Azure AD i używał go do fałszowania tokenów w celu uwierzytelnienia na serwerze Exchange. Jednak dalsze dochodzenie wykazało, że Storn-0558 w rzeczywistości używał klucza podpisu klienta MSA do fałszowania tokena – co firma przypisywała wówczas „błędowi walidacji”.
W zgłoś w tym tygodniuMicrosoft opublikował wyniki swojego późniejszego, dwuipółmiesięcznego dochodzenia technicznego w sprawie incydentu, które opisuje dokładnie przebieg łańcucha ataków oraz skorygowane już błędy, które umożliwiły całe zdarzenie.
Seria niefortunnych błędów
Według firmy problem zaczął się od rozwiązanego już problemu wyścigu, w wyniku którego klucz do podpisu znajdował się na zrzucie awaryjnym.
Zwykle klucz podpisujący nigdy nie powinien był wydostać się z bezpiecznego środowiska produkcyjnego firmy, które jest odizolowane i zawiera kilka mechanizmów kontroli bezpieczeństwa. Należą do nich weryfikacja przeszłości pracowników, dedykowane konta produkcyjne, bezpieczne stacje robocze i uwierzytelnianie dwuskładnikowe oparte na tokenach sprzętowych. „Kontrola w tym środowisku uniemożliwia również korzystanie z poczty e-mail, konferencji, badań sieci i innych narzędzi do współpracy, co może prowadzić do typowych wektorów włamań do kont” – stwierdził Microsoft w swoim raporcie z tego tygodnia.
Te kontrole nie były jednak wystarczające, gdy w kwietniu 2021 r. doszło do awarii konsumenckiego systemu podpisywania kluczy w środowisku produkcyjnym, a klucz do podpisu znalazł się albo w zrzucie awaryjnym, albo w migawce uszkodzonego systemu. Zwykle klucz powinien zostać usunięty ze zrzutu, ale tak się nie stało z powodu warunków wyścigowych. Co gorsza, żadna z kontroli Microsoftu nie wykryła poufnych informacji w zrzucie awaryjnym, co ostatecznie trafiło do zespołu debugującego w firmowej sieci Microsoftu połączonej z Internetem. W tym przypadku mechanizmy kontroli firmy służące do wykrywania danych uwierzytelniających w środowisku debugowania nie wykryły wycieku klucza klienta.
Jak wyjaśnił Microsoft, chociaż środowisko korporacyjne firmy jest bezpieczne, pozwala również na korzystanie z poczty e-mail, konferencji i innych narzędzi do współpracy, które czynią użytkowników nieco bardziej podatnymi na ataki typu spear-phishing, złośliwe oprogramowanie kradnące tokeny i inne wektory ataków.
W pewnym momencie atakującym Storm-0558 udało się z powodzeniem złamać korporacyjne konto inżyniera firmy Microsoft i wykorzystać dostęp tego konta do środowiska debugowania, aby ukraść stamtąd dane — w tym niekontrolowany klucz.
Wyjaśnienie tajemnicy klucza konsumenta
Jeśli chodzi o sposób, w jaki klucz konsumencki umożliwił atakującemu sfałszowanie tokenów usługi Azure AD, Microsoft wskazuje na wspólny punkt końcowy publikowania metadanych kluczy, który ustanowił we wrześniu 2018 r. „W ramach tej oferty konwergentnej firma Microsoft zaktualizowała dokumentację w celu wyjaśnienia wymagań dotyczących sprawdzania poprawności zakresu klucza — jakiego klucza użyć w przypadku kont korporacyjnych, a jakiego w przypadku kont konsumenckich” – powiedział Microsoft.
Jednak w tym przypadku — z różnych powodów związanych z niejednoznacznymi aktualizacjami dokumentacji i bibliotek, interfejsami API i innymi czynnikami — walidacja kluczowego zakresu nie zadziałała zgodnie z oczekiwaniami. W rezultacie „system poczty e-mail zaakceptuje żądanie poczty korporacyjnej przy użyciu tokena zabezpieczającego podpisanego kluczem klienta” – podał Microsoft.
Aby rozwiązać ten problem, firma Microsoft wyeliminowała sytuację wyścigu, która umożliwiała uwzględnianie kluczowych danych w zrzutach awaryjnych. Firma udoskonaliła także swoje mechanizmy wykrywania kluczy podpisujących w miejscach, w których nie powinny się znajdować, m.in. w środowisku debugującym. Ponadto Microsoft stwierdził, że ulepszył swój mechanizm automatycznej walidacji zakresu, aby wyeliminować ryzyko podobnych wpadek.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
- Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
- Źródło: https://www.darkreading.com/attacks-breaches/microsoft-ids-security-gaps-that-let-threat-actor-steal-signing-key
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 2018
- 2021
- 25
- 7
- a
- Akceptuj
- dostęp
- dostęp
- Dostęp
- Konto
- Konta
- nabyty
- aktywny
- aktorzy
- Ad
- dodatek
- adres
- ponownie
- dozwolony
- pozwala
- również
- an
- i
- Pszczoła
- Zastosowanie
- kwiecień
- SĄ
- AS
- przypuszczalny
- At
- atakować
- Ataki
- Uwierzytelnianie
- zautomatyzowane
- Lazur
- tło
- BE
- bo
- być
- jest
- Uważa
- ciała
- ale
- by
- Kampania
- Kampanie
- CAN
- łańcuch
- Wykrywanie urządzeń szpiegujących
- chiński
- współpraca
- COM
- wspólny
- Firmy
- sukcesy firma
- kompromis
- warunek
- konferencje
- konsument
- kontroli
- Korporacyjny
- Crash
- Rozbił się
- POŚWIADCZENIE
- klient
- Klientów
- cyber
- dane
- dedykowane
- wykryte
- ZROBIŁ
- nie zrobił
- odkryty
- do
- dokumentacja
- zrzucać
- Wcześniej
- Wcześnie
- bądź
- wyeliminować
- wyłączony
- pracowników
- włączony
- zakończony
- Punkt końcowy
- inżynier
- dość
- Enterprise
- podmioty
- Środowisko
- sprzęt
- błąd
- szpiegostwo
- ustanowiony
- europejski
- ostatecznie
- dokładnie
- wymiana
- wyjaśnione
- fakt
- Czynniki
- Failed
- Ustalenia
- W razie zamówieenia projektu
- wykuć
- Kucie
- od
- dalej
- Wzrost
- luki
- rządzić
- Zarządzanie
- miał
- zdarzyć
- sprzęt komputerowy
- Żniwny
- Have
- mający
- tutaj
- W jaki sposób
- Jednak
- HTTPS
- ID
- ulepszony
- in
- incydent
- zawierać
- włączony
- Włącznie z
- Informacja
- początkowy
- zamierzony
- Internet
- podłączony do internetu
- najnowszych
- śledztwo
- zaangażowany
- z udziałem
- odosobniony
- IT
- JEGO
- jpg
- Klawisz
- Klawisze
- firmy
- prowadzić
- najmniej
- Ustawodawczy
- niech
- Biblioteka
- relacja na żywo
- długo
- robić
- malware
- zarządzane
- Producenci
- wiele
- Może..
- mechanizm
- Mechanizmy
- Media
- Metadane
- Microsoft
- błędy
- jeszcze
- Tajemnica
- netto
- sieć
- nigdy
- żaden
- normalnie
- godny uwagi
- przysięgać
- uzyskane
- of
- oferuje
- on
- Online
- or
- Inne
- Inaczej
- na zewnątrz
- Outlook
- część
- phishing
- Miejsca
- plato
- Analiza danych Platona
- PlatoDane
- grał
- punkt
- zwrotnica
- potencjał
- teraźniejszość
- zapobiec
- Problem
- Produkcja
- dostawców
- Wydawniczy
- Wyścig
- Przyczyny
- wydany
- raport
- zażądać
- wymagania
- Badania naukowe
- dalsze
- s
- Powiedział
- zakres
- bezpieczne
- bezpieczeństwo
- token bezpieczeństwa
- wrażliwy
- wrzesień
- Serie
- usługa
- usługodawcy
- kilka
- powinien
- pokazał
- pokazane
- znak
- podpisana
- podpisywanie
- podobny
- ponieważ
- Migawka
- kilka
- coś
- nieco
- Spot
- plamienie
- rozpoczęty
- kolejny
- Z powodzeniem
- taki
- system
- cel
- cele
- zespół
- Techniczny
- telekomunikacja
- że
- Połączenia
- ich
- Tam.
- Te
- one
- rzecz
- to
- w tym tygodniu
- w tym roku
- groźba
- czas
- do
- żeton
- Żetony
- narzędzia
- Śledzenie
- zazwyczaj
- nieszczęśliwy
- zaktualizowane
- Nowości
- us
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- za pomocą
- uprawomocnienie
- różnorodność
- przez
- Wrażliwy
- była
- sieć
- tydzień
- były
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- cały
- w
- Praca
- gorzej
- by
- xbox
- rok
- zefirnet