Το κλειδί υπογραφής καταναλωτών της Microsoft κλάπηκε από Κινέζους χάκερ (Storm-0558). Με αυτό το κλειδί, οι χάκερ είχαν πρόσβαση σε λογαριασμούς Exchange Online και Outlook.com που η εταιρεία προηγουμένως δήλωσε ότι είχαν παραβιαστεί, σύμφωνα με όσα αποκάλυψαν ερευνητές ασφαλείας της Wiz.
Δείτε επίσης: Το Microsoft Teams λαμβάνει μια σημαντική ενημέρωση ασφαλείας
Η τεχνολογία Exchange Online, έχει γίνει ευρέως αποδεκτή από μικρές, μεσαίες και μεγάλες επιχειρήσεις. Είναι μια υπηρεσία email που βασίζεται στο cloud και παρέχει καλύτερη ασφάλεια, αξιοπιστία και επεκτασιμότητα.
Η εταιρεία αποκάλυψε στις 12 Ιουλίου ότι οι εισβολείς είχαν παραβιάσει τους λογαριασμούς Exchange Online και Azure Active Directory (AD) περίπου δώδεκα οργανισμών. Αυτό πραγματοποιήθηκε χρησιμοποιώντας ένα zero-day επικύρωσης, το οποίο έχει διορθωθεί τώρα στο GetAccessTokenForResourceAPI. Αυτό τους επιτρέπει να πλαστογραφούν υπογεγραμμένα διακριτικά πρόσβασης και να φτιάξουν πλαστούς λογαριασμούς εντός των στοχευμένων οργανισμών.
Οι αρχές που επλήγησαν ήταν κυβερνητικές υπηρεσίες σε περιοχές των ΗΠΑ και της Δυτικής Ευρώπης, συμπεριλαμβανομένου του Υπουργείου Εξωτερικών και Εμπορίου των ΗΠΑ.
Την Παρασκευή, ο ερευνητής ασφάλειας του Wiz, Shir Tamari, ανακοίνωσε ότι ο αντίκτυπος είχε επηρεάσει όλες τις εφαρμογές Azure AD που χρησιμοποιούν το OpenID v2.0 της Microsoft. Αυτό συνέβη επειδή το κλειδί που εκλάπη μπορούσε να χρησιμοποιηθεί για να αποκτηθεί πρόσβαση σε προσωπικούς λογαριασμούς (όπως Xbox, Skype) και εφαρμογές AAD που ανήκουν σε πολλαπλούς ενοικιαστές μέσω του διακριτικού πρόσβασης OpenID v2.0.
Η Microsoft διευκρίνισε ότι το πρόβλημα επηρέασε μόνο όσους είχαν προσωπικούς λογαριασμούς και αντιμετώπιζαν σφάλμα επικύρωσης.
Δείτε ακόμα: Bing Chat Enterprise: Η Microsoft φέρνει το chatbot για επιχειρήσεις
Παρόλο που η Microsoft αναφέρει πως επηρεάστηκαν μόνο το Exchange Online και το Outlook, η Wiz εξηγεί πως οι χάκερς μπορούν να χρησιμοποιήσουν το κλειδί υπογραφής καταναλωτή της Microsoft που παραβιάστηκε, για να προσποιηθούν οποιονδήποτε λογαριασμό σε οποιονδήποτε επηρεασμένο πελάτη ή εφαρμογή της Microsoft που βασίζεται στο cloud.
“Αυτό περιλαμβάνει διαχειριζόμενες εφαρμογές της Microsoft, όπως το Outlook, το SharePoint, το OneDrive και το Teams, καθώς και εφαρμογές πελατών που υποστηρίζουν έλεγχο ταυτότητας λογαριασμού Microsoft, συμπεριλαμβανομένων εκείνων που επιτρέπουν τη λειτουργία “Σύνδεση με τη Microsoft“”, είπε ο Tamari.
Η Microsoft ανακάλεσε όλα τα έγκυρα κλειδιά υπογραφής MSA μετά την παραβίαση ασφαλείας, για να διασφαλίσει ότι οι δράστες δεν μπορούν να έχουν πρόσβαση σε άλλες παραβιασμένες ζώνες.
Αυτό το μέτρο απέτρεψε τη δημιουργία οποιασδήποτε νέας πρόσβασης. Επιπλέον, η εταιρεία ενημέρωσε για τα νέα διαπιστευτήρια πρόσβασης που δημιουργήθηκαν στο κατάστημα κλειδιών για τα εταιρικά συστήματα της εταιρείας.
Μετά την ακύρωση του κλεμμένου κλειδιού υπογραφής, η Microsoft δεν ανέκαμψε κάποια άλλη μη εξουσιοδοτημένη πρόσβαση στους λογαριασμούς των πελατών της χρησιμοποιώντας την ίδια τεχνική .
Η Microsoft αναφέρει πως παρατήρησε μια αλλαγή στις τακτικές του Storm-0558 και αυτό υποδηλώνει πως οι κακόβουλοι παράγοντες δεν έχουν πλέον πρόσβαση σε κανένα κλειδί υπογραφής.
Δείτε επίσης: Τα franchise της Activision Blizzard που θα ανήκουν στη Microsoft
Πρόσφατα η εταιρεία ανακοίνωσε ότι δεν έχει εντοπίσει ακόμη το πώς οι κινέζοι χάκερς κατάφεραν να κλέψουν το κλειδί υπογραφής που χρησιμοποιείται από τους καταναλωτές της Microsoft. Ωστόσο, μετά από πίεση από την CISA, έχουν συμφωνήσει να επεκτείνουν τη δωρεάν πρόσβαση σε δεδομένα καταγραφής cloud, για να βοηθήσουν στην εντοπισμό παρόμοιων προσπαθειών παραβίασης στο μέλλον από τους υπερασπιστές.
