Çinli gelişmiş kalıcı tehdit (APT) aktörlerine en az 25 ABD devlet kurumundaki e-postalara erişim sağlayan Storm-0558 ihlali, tahmin edilenden çok daha kapsamlı ve etkili olabilir ve potansiyel olarak Microsoft bulut hizmetlerinin daha önce düşünülenden çok daha geniş bir alanını riske atabilir.
Ancak birçok kuruluşta kimlik doğrulama kaydı olmaması, durumdan kaynaklanan gerçek uzlaşmanın tam kapsamının belirlenmesinin aylar olmasa da haftalar alacağı anlamına gelir.
E-posta ihlali sırasında, çalınan bir Microsoft hesabı (MSA) anahtarı, Storm-0558 APT’nin yetkili Azure Active Directory (AD) kullanıcıları gibi görünmek için kimlik doğrulama belirteçleri oluşturmasına, Microsoft 365 kurumsal e-posta hesaplarına ve içerdiği potansiyel olarak hassas bilgilere erişmesine olanak sağladı.
Ancak, 21 Temmuz’da yayınlanan Wiz araştırmasına göre, kaydırılan MSA anahtarının, tehdit aktörünün “SharePoint, Teams, OneDrive gibi kişisel hesap kimlik doğrulamasını destekleyen her uygulama, ‘Microsoft ile oturum açma’ işlevini destekleyen müşteri uygulamaları ve belirli koşullarda çok kiracılı uygulamalar dahil olmak üzere birden çok Azure Active Directory uygulaması türü” için erişim belirteçleri oluşturmasına izin vermiş olabileceği ortaya çıktı.
Skype ve Xbox gibi hizmetler için kişisel Microsoft hesapları da savunmasızdır.
Wiz’in araştırma başkanı Shir Tamari, APT’nin “her şeye, herhangi bir e-posta kutusuna, dosya hizmetine veya bulut hesabına anında tek sekme erişimine” sahip olma konumunda gizlenebileceğini belirtti.
Tamari, Microsoft’un firmanın bulgularını doğruladığını kaydetti. 21 Temmuz ilanı.
Storm-0558 İhlalinin Kapsamının Belirlenmesi
Microsoft, çalınan anahtarı Temmuz ayı başlarında iptal etti ve e-posta saldırısı için uzlaşma göstergelerini (IoC’ler) yayınladı. Ancak ne yazık ki, Storm-0558 aktörlerinin milyonlarca ek hassas uygulamadan herhangi birine daha geniş erişimi gerçekten kullanıp kullanmadığını değerlendirmek, söylemesi yapmaktan çok daha kolay olacaktır.
Tamari, “Belirteç doğrulama süreciyle ilgili önemli alanlarda günlük olmaması nedeniyle müşterilerin uygulamalarında sahte belirteç kullanımını tespit etmesinin zor olabileceğini keşfettik.”
Bu, Microsoft’un geçen hafta Storm-0558 ihlaline ilişkin orijinal ifşasının ardından gün ışığına çıkan sözde “kayıt vergisi” ile ilgilidir: Birçok Microsoft müşterisi, anormal davranışı tespit edebilen gelişmiş günlük kaydı yalnızca ücretli bir premium hizmetin parçası olarak mevcut olduğundan, saldırıların işletmeleri üzerindeki etkisi konusunda görünürlükten yoksundur. Microsoft birkaç gün içinde endüstri baskısına boyun eğdi ve gelişmiş günlük kaydına ücretsiz erişim sağlama sözü verdi, ancak bu değişikliğin müşterilerin küresel olarak uygulaması ve kullanması biraz zaman alacak.
Tamari, “Maalesef, uygulamaya özel günlüğe kaydetme söz konusu olduğunda standartlaştırılmış uygulamaların eksikliği var. Bu nedenle, çoğu durumda, uygulama sahiplerinin ham erişim belirtecini veya imzalama anahtarını içeren ayrıntılı günlükleri yoktur” diye yazdı. “Sonuç olarak, bu tür olayları belirlemek ve araştırmak, uygulama sahipleri için son derece zor olabilir.”
Bununla birlikte, riskler yüksek olmaya devam ediyor, kaydedildi Yossi Rahman, AD güvenlik şirketi Semperis’in güvenlik araştırması direktörü. “Buradaki asıl endişe, tehdit aktörlerinin güvenliği ihlal edilmiş Azure AD anahtarını tam olarak nasıl ele geçirebildiklerini anlamaktır, çünkü bu tür ihlaller hızla SolarWinds ölçeğinde bir olaya dönüşme potansiyeline sahiptir.“
Azure AD Müşterileri Hala Risk Altında Olabilir
Wiz, Storm-0558’in kendisine uygulamaya özel erişim anahtarları vererek veya arka kapılar kurarak kalıcılık oluşturmak için erişiminden yararlanabileceği göz önüne alındığında, anahtar iptaline rağmen bazı Azure AD müşterilerinin potansiyel olarak hala ördekler olabileceği konusunda uyardı.
Ayrıca, iptalden önce Azure AD ortak anahtarlarının kopyalarını tutan tüm uygulamalar ve güncelleştirilmemiş olabilecek yerel sertifika depolarına veya önbelleğe alınmış anahtarlara dayanan uygulamalar, belirteç sahteciliğine açık olmaya devam eder.
Tamari, “Bu uygulamaların güvenilir sertifikalar listesini hemen yenilemesi zorunludur” dedi. “Microsoft, yerel mağazaların ve sertifikaların önbelleğini günde en az bir kez yenilemenizi önerir.”
Ek olarak, gönderisinde hangi belirli Azure AD yapılandırmalarının bir saldırı riski altında olacağına dair ayrıntıları listeleyen Wiz, kuruluşlara Azure SDK’lerini en son sürüme güncellemelerini ve uygulama önbelleklerinin güncellendiğinden emin olmalarını tavsiye etti.
Tamari, “Bu olayın tam etkisi, başlangıçta anladığımızdan çok daha büyük,” dedi. “Bu olayın, buluta ve onu destekleyen temel bileşenlere, her şeyden önce bulutta yaptığımız her şeyin temel dokusu olan kimlik katmanına olan güvenimiz üzerinde uzun süreli etkileri olacağına inanıyoruz. Ondan öğrenmeli ve geliştirmeliyiz.”