Η Microsoft αναφέρει ότι οι Κινέζοι χάκερ Storm-0558 έκλεψαν ένα κλειδί υπογραφής που χρησιμοποιήθηκε για την παραβίαση κυβερνητικών λογαριασμών email από ένα crash dump των Windows, αφού παραβίασαν τον εταιρικό λογαριασμό ενός μηχανικού της Microsoft.
Δείτε επίσης: Microsoft: Τα Windows θα απενεργοποιήσουν σύντομα το ανασφαλές TLS
Οι επιτιθέμενοι χρησιμοποίησαν το κλεμμένο κλειδί MSA για να παραβιάσουν τους λογαριασμούς Exchange Online και Azure Active Directory (AD) περίπου δύο ντουζίνων οργανισμών, συμπεριλαμβανομένων κυβερνητικών υπηρεσιών στις Ηνωμένες Πολιτείες, όπως τα υπουργεία Εξωτερικών και Εμπορίου των ΗΠΑ.
Εκμεταλλεύτηκαν ένα επιδιορθωμένο πλέον ζήτημα επικύρωσης zero-day στο GetAccessTokenForResourceAPI, το οποίο τους επέτρεψε να πλαστογραφήσουν υπογεγραμμένα tokens πρόσβασης και να υποδυθούν λογαριασμούς εντός των στοχευμένων οργανισμών.
Windows crash dump κατάδυση
Κατά τη διερεύνηση της επίθεσης του Storm-0558, η Microsoft διαπίστωσε ότι το κλειδί MSA διέρρευσε σε ένα crash dump μετά τη συντριβή ενός συστήματος υπογραφής καταναλωτών τον Απρίλιο του 2021.
Παρόλο που το Windows crash dump δεν θα έπρεπε να περιλαμβάνει κλειδιά υπογραφής, μια κατάσταση ανταγωνισμού οδήγησε στην προσθήκη του κλειδιού. Αυτό το crash dump μεταφέρθηκε αργότερα από το απομονωμένο δίκτυο παραγωγής της εταιρείας στο συνδεδεμένο στο διαδίκτυο εταιρικό περιβάλλον debugging.
Οι δράστες βρήκαν το κλειδί μετά την επιτυχή παραβίαση του εταιρικού λογαριασμού ενός μηχανικού της Microsoft, ο οποίος είχε πρόσβαση στο περιβάλλον εντοπισμού σφαλμάτων που περιείχε το κλειδί που περιλήφθηκε λανθασμένα στο crash dump του Απριλίου 2021.
“Λόγω των πολιτικών διατήρησης αρχείων καταγραφής, δεν διαθέτουμε αρχεία καταγραφής με συγκεκριμένες αποδείξεις αυτής της εξαπόλυσης από αυτόν τον δράστη, αλλά αυτός ήταν ο πιο πιθανός μηχανισμός με τον οποίο ο δράστης απέκτησε το κλειδί”, αποκάλυψε σήμερα η Microsoft.
“Οι μέθοδοι σάρωσης διαπιστευτηρίων μας δεν εντόπισαν την παρουσία του (το ζήτημα αυτό έχει διορθωθεί)”.
Ευρεία πρόσβαση σε υπηρεσίες cloud της Microsoft
Ενώ η Microsoft δήλωσε όταν αποκάλυψε το περιστατικό τον Ιούλιο ότι επηρεάστηκαν μόνο το Exchange Online και το Outlook, ο ερευνητής ασφαλείας της Wiz, Shir Tamari, δήλωσε αργότερα ότι το παραβιασμένο κλειδί υπογραφής του καταναλωτή της Microsoft παρείχε στο Storm-0558 ευρεία πρόσβαση σε υπηρεσίες cloud της Microsoft.
Πρόταση: Σύντομα η Microsoft θα ξεφορτωθεί μια σειρά χαρακτηριστικών από τον Edge
Όπως είπε η Tamari, το κλειδί θα μπορούσε να χρησιμοποιηθεί για να υποδυθεί οποιονδήποτε λογαριασμό σε οποιονδήποτε επηρεαζόμενο πελάτη ή εφαρμογή της Microsoft που βασίζεται στο cloud.
“Αυτό περιλαμβάνει διαχειριζόμενες εφαρμογές της Microsoft, όπως το Outlook, το SharePoint, το OneDrive και το Teams, καθώς και εφαρμογές πελατών που υποστηρίζουν έλεγχο ταυτότητας λογαριασμού Microsoft, συμπεριλαμβανομένων εκείνων που επιτρέπουν τη λειτουργία ‘Σύνδεση με τη Microsoft'”, δήλωσε ο Tamari.
Τα πάντα στον κόσμο της Microsoft αξιοποιούν τα Azure Active Directory auth tokens για πρόσβαση”, δήλωσε επίσης στο BleepingComputer ο CTO και συνιδρυτής της Wiz, Ami Luttwak.
“Ένας επιτιθέμενος με ένα κλειδί υπογραφής AAD είναι ο πιο ισχυρός επιτιθέμενος που μπορείτε να φανταστείτε, επειδή μπορεί να έχει πρόσβαση σχεδόν σε οποιαδήποτε εφαρμογή – ως οποιοσδήποτε χρήστης. Αυτή είναι η απόλυτη υπερδύναμη της κυβερνοπληροφόρησης’ shape shifter'”.
“Το πιστοποιητικό του παλιού δημόσιου κλειδιού αποκάλυψε ότι εκδόθηκε στις 5 Απριλίου 2016 και έληξε στις 4 Απριλίου 2021”, πρόσθεσε ο Tamari.
Το Redmond δήλωσε αργότερα στο BleepingComputer ότι το παραβιασμένο κλειδί θα μπορούσε να χρησιμοποιηθεί μόνο για να στοχεύσει εφαρμογές που δέχονταν προσωπικούς λογαριασμούς και είχαν το σφάλμα επικύρωσης που εκμεταλλεύτηκαν οι Κινέζοι χάκερ.
Σε απάντηση στην παραβίαση της ασφάλειας, η Microsoft ανακάλεσε όλα τα έγκυρα κλειδιά υπογραφής MSA για να αποτρέψει τους δράστες από την πρόσβαση σε άλλα παραβιασμένα κλειδιά. Αυτό το βήμα μπλόκαρε επίσης αποτελεσματικά κάθε πρόσθετη προσπάθεια δημιουργίας νέων κωδικών πρόσβασης. Επιπλέον, η Microsoft μετεγκατέστησε τα πρόσφατα δημιουργηθέντα κλειδιά πρόσβασης στην αποθήκη κλειδιών που χρησιμοποιείται από τα εταιρικά της συστήματα.
Μετά την ανάκληση του κλεμμένου κλειδιού υπογραφής, η Microsoft δεν βρήκε πρόσθετες ενδείξεις μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς πελατών που χρησιμοποιούσαν την ίδια τεχνική πλαστογράφησης του auth token.
Υπό την πίεση της CISA, η Microsoft συμφώνησε επίσης να επεκτείνει δωρεάν την πρόσβαση σε δεδομένα καταγραφής στο cloud, ώστε να βοηθήσει τους defenders του δικτύου να εντοπίσουν παρόμοιες απόπειρες παραβίασης στο μέλλον.
Πριν από αυτό, τέτοιες δυνατότητες καταγραφής ήταν διαθέσιμες μόνο σε πελάτες με άδειες καταγραφής Purview Audit (Premium). Ως αποτέλεσμα, το Redmond αντιμετώπισε σημαντικές επικρίσεις επειδή εμπόδισε τους οργανισμούς να εντοπίσουν άμεσα τις επιθέσεις της Storm-0558.
Διαβάστε επίσης: Windows 11 23H2: Τρία κορυφαία νέα χαρακτηριστικά
πηγή πληροφοριών:bleepingcomputer.com
