Компания Microsoft наконец
, как китайские хакеры из группировки Storm-0558 смогли похитить ключ подписи, который затем был использован для взлома правительственных учреждений в США и странах Западной Европы.
Оказалось, ключ был получен из аварийного дампа Windows (crash dump) после взлома корпоративной учетной записи инженера Microsoft.
Напомню, что о краже ключа MSA и атаке на Exchange Online и Azure Active Directory (AD) более двух десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы, в середине июля 2023 года.
Тогда сообщалось, что в середине мая злоумышленникам удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не были раскрыты. Известно лишь, что в числе пострадавших числятся .
При этом аналитики компании Wiz, специализирующейся на облачной безопасности, , что проблема затронула все приложения Azure AD, работающие с Microsoft OpenID v2.0. Дело в том, что украденный ключ мог подписать любой токен доступа OpenID v2.0 для личных учетных записей (например, Xbox, Skype) и мультитенантных приложений AAD при определенных условия.
В ответ на эти обвинения исследователей представители Microsoft подчеркнули, что компания отозвала все ключи MSA, чтобы гарантировать, что злоумышленники не имеют доступа к другим скомпрометированным ключам (что полностью предотвращает любые попытки создания новых токенов).
Также подчеркивалось, что после аннулирования украденного ключа специалисты Microsoft не обнаружили дополнительных доказательств, указывающих на несанкционированный доступ к учетным записям клиентов с использованием того же метода подделки токенов.
Однако до инцидента возможности ведения журналов были доступны только клиентам Microsoft, которые оплатили соответствующую лицензию Purview Audit (Premium). Из-за этого Microsoft столкнулась с серьезной критикой со стороны ИБ-сообщества, и эксперты заявили, что сама Microsoft мешала организациям оперативно обнаружить атаки Storm-0558.
В результате, под давлением сообщества и Агентства по кибербезопасности и защите инфраструктуры США (CISA), компания бесплатно расширить доступ к данным облачных журналов, чтобы защитники могли обнаруживать подобные попытки взлома в будущем.
Как теперь сообщают в компании, расследование инцидента выявило, что ключ MSA попал в аварийный дамп, созданный после сбоя системы еще в апреле 2021 года.
По словам представителей Microsoft, обычно такие ключи доверяют только проверенным сотрудникам, прошедшим проверку на благонадежность, и лишь в том случае, если они используют выделенные рабочие станции, защищенные многофакторной аутентификацией и использованием аппаратных токенов безопасности.
Причем ради безопасности в этой среде не допускается использование электронной почты, конференц-связи и других средств для совместной работы, поскольку они являются наиболее распространенными векторами для атак с использованием малвари и фишинга. Кроме того, эта среда отделена от остальной сети Microsoft, где сотрудники имеют доступ к электронной почте и прочим инструментам.
Несмотря на то, что аварийный дамп не должен содержать ключи подписи, неизвестная ошибка (которая уже исправлена), связанная с состоянием гонки, привела к тому, что ключ попал в дамп, и этого никто не заметил из-за другой ошибке (тоже уже исправленной). Позже этот дамп был перенесен из изолированной сети компании в корпоративную среду отладки, доступную из интернета.
В итоге злоумышленники обнаружили ключ после успешного взлома корпоративной учетной записи неназванного инженера Microsoft, который имел к этой среде отладки. Сообщается, что взлом был осуществлен с помощью «вредоносного ПО, похищающего токены».
Тогда компания обновила свою документацию и библиотеки, чтобы разработчики приложений могли использовать этот эндпоинт для обеспечения Single Sign-On. Но Microsoft не обеспечила корректные автоматические проверки в этих библиотеках, которые могли бы гарантировать, что, например, корпоративный пользователь не пройдет валидацию с использованием потребительского ключа.
И даже инженеры Microsoft, начавшие использовать этот эндпоинт в 2022 году, тоже не осознавали, что надлежащие проверки отсутствуют.
Как уже отмечалось ранее, Microsoft упорно избегает слова «уязвимость» при описании инцидента, связанного с атаками Storm-0558. Вместо этого компания использует слово «проблема». На просьбу журналистов объяснить, что подразумевается под термином «проблема», в компании ответили: «Уязвимость — это специфический термин, и мы бы использовали термин “уязвимость”, если бы он был уместен. Под “проблемой” понимаются такие вещи, как неправильная конфигурация, ошибки оператора или случайные побочные продукты других действий».
Оказалось, ключ был получен из аварийного дампа Windows (crash dump) после взлома корпоративной учетной записи инженера Microsoft.
Напомню, что о краже ключа MSA и атаке на Exchange Online и Azure Active Directory (AD) более двух десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы, в середине июля 2023 года.
Тогда сообщалось, что в середине мая злоумышленникам удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не были раскрыты. Известно лишь, что в числе пострадавших числятся .
При этом аналитики компании Wiz, специализирующейся на облачной безопасности, , что проблема затронула все приложения Azure AD, работающие с Microsoft OpenID v2.0. Дело в том, что украденный ключ мог подписать любой токен доступа OpenID v2.0 для личных учетных записей (например, Xbox, Skype) и мультитенантных приложений AAD при определенных условия.
В ответ на эти обвинения исследователей представители Microsoft подчеркнули, что компания отозвала все ключи MSA, чтобы гарантировать, что злоумышленники не имеют доступа к другим скомпрометированным ключам (что полностью предотвращает любые попытки создания новых токенов).
Также подчеркивалось, что после аннулирования украденного ключа специалисты Microsoft не обнаружили дополнительных доказательств, указывающих на несанкционированный доступ к учетным записям клиентов с использованием того же метода подделки токенов.
Однако до инцидента возможности ведения журналов были доступны только клиентам Microsoft, которые оплатили соответствующую лицензию Purview Audit (Premium). Из-за этого Microsoft столкнулась с серьезной критикой со стороны ИБ-сообщества, и эксперты заявили, что сама Microsoft мешала организациям оперативно обнаружить атаки Storm-0558.
В результате, под давлением сообщества и Агентства по кибербезопасности и защите инфраструктуры США (CISA), компания бесплатно расширить доступ к данным облачных журналов, чтобы защитники могли обнаруживать подобные попытки взлома в будущем.
Как теперь сообщают в компании, расследование инцидента выявило, что ключ MSA попал в аварийный дамп, созданный после сбоя системы еще в апреле 2021 года.
По словам представителей Microsoft, обычно такие ключи доверяют только проверенным сотрудникам, прошедшим проверку на благонадежность, и лишь в том случае, если они используют выделенные рабочие станции, защищенные многофакторной аутентификацией и использованием аппаратных токенов безопасности.
Причем ради безопасности в этой среде не допускается использование электронной почты, конференц-связи и других средств для совместной работы, поскольку они являются наиболее распространенными векторами для атак с использованием малвари и фишинга. Кроме того, эта среда отделена от остальной сети Microsoft, где сотрудники имеют доступ к электронной почте и прочим инструментам.
Несмотря на то, что аварийный дамп не должен содержать ключи подписи, неизвестная ошибка (которая уже исправлена), связанная с состоянием гонки, привела к тому, что ключ попал в дамп, и этого никто не заметил из-за другой ошибке (тоже уже исправленной). Позже этот дамп был перенесен из изолированной сети компании в корпоративную среду отладки, доступную из интернета.
В итоге злоумышленники обнаружили ключ после успешного взлома корпоративной учетной записи неназванного инженера Microsoft, который имел к этой среде отладки. Сообщается, что взлом был осуществлен с помощью «вредоносного ПО, похищающего токены».
Также в сообщении компании объясняется, как просроченный потребительский ключ мог использоваться для подделки токенов важных корпоративных предложений. Дело в том, что в 2018 году компания Microsoft новый фреймворк, который работал как с потребительскими, так и с корпоративными облачными приложениями. Однако еще одна ошибка помешала корректной работе программного интерфейса, который предназначался для криптографической проверки того, какой ключ использовать для корпоративных учетных записей, а какой — для потребительских.
Тогда компания обновила свою документацию и библиотеки, чтобы разработчики приложений могли использовать этот эндпоинт для обеспечения Single Sign-On. Но Microsoft не обеспечила корректные автоматические проверки в этих библиотеках, которые могли бы гарантировать, что, например, корпоративный пользователь не пройдет валидацию с использованием потребительского ключа.
И даже инженеры Microsoft, начавшие использовать этот эндпоинт в 2022 году, тоже не осознавали, что надлежащие проверки отсутствуют.
Подчеркивается, что эту проблему тоже уже устранили.
Как уже отмечалось ранее, Microsoft упорно избегает слова «уязвимость» при описании инцидента, связанного с атаками Storm-0558. Вместо этого компания использует слово «проблема». На просьбу журналистов объяснить, что подразумевается под термином «проблема», в компании ответили: «Уязвимость — это специфический термин, и мы бы использовали термин “уязвимость”, если бы он был уместен. Под “проблемой” понимаются такие вещи, как неправильная конфигурация, ошибки оператора или случайные побочные продукты других действий».
