Temmuz ayının ilk yarısında Microsoft, Çinli hack grubu Storm-0558’in ABD hükümetindeki kurumlar da dahil olmak üzere yaklaşık 25 kuruluşun e-postalarına erişim sağladığını açıkladı. Bugün şirket, nasıl olduğunu açıklamak Bu, bir dizi dahili hata sayesinde gerçekleşti ve dijital açıdan giderek güvensiz hale gelen bir dünyada devasa, büyüyen yazılım altyapısını sürdürmenin ne kadar ciddi bir sorumluluk olduğunu keskin bir şekilde vurguladı.
Microsoft’un araştırma özetine göre Storm-0558, hedeflerinin hesaplarına erişim belirteçleri oluşturmalarına olanak tanıyan bir “Microsoft hesabı tüketici anahtarı” elde ederek kurumsal ve resmi e-postalara erişim sağlamayı başardı.
Storm-0558, Rube Goldberg makinesi tarzı bir dizi olayın anahtarı asla olmaması gereken bir yere koymasının ardından anahtarı elde etti. Şirket, sistemin çöken bir işlemin hata ayıklama anlık görüntüsünü aldığında, olması gerektiği gibi tüm hassas bilgilerin “çökme dökümü” olarak adlandırılan kısmını çıkarmadığını ve anahtarı içeride bıraktığını yazıyor.
Microsoft’un sistemlerinin hâlâ kilitlenme dökümündeki “anahtar malzemeyi” tespit etmesi gerekiyordu, ancak görünen o ki tespit edemediler. Dolayısıyla şirket mühendisleri dökümü bulduğunda, bunun hassas veriler içermediğini varsaydılar ve onu “yalıtılmış üretim ağından” şirketin hata ayıklama ortamına aktardılar.
Sonra başka bir güvenlik önlemi (anahtarı da yakalaması gereken bir kimlik bilgisi taraması) anahtarın orada olduğunu gözden kaçırdı. Son kapı, Storm-0558’in bir Microsoft mühendisinin kurumsal hesabını ele geçirmeyi başarmasıyla düştü ve bilgisayar korsanlarına, başlangıçta anahtara asla sahip olmaması gereken hata ayıklama ortamına erişim sağladı.
Microsoft, anahtarın sistemlerinden bu şekilde çıkarıldığına dair kanıt gösteren hiçbir kayıt olmadığını ancak bunun “en olası” olduğunu söylüyor hackerların izlediği yol.
Son bir önemli nokta daha var: bu bir tüketici anahtar, ancak tehdit aktörlerinin kurumsal Microsoft hesaplarına girmesine izin veriyor. Microsoft, hem tüketici hem de kurumsal hesaplarda çalışan destek yazılımı talebine yanıt olarak 2018 yılında ortak anahtar meta veri yayınlamayı kullanmaya başladığını söylüyor.
Şirket bu desteği ekledi ancak anahtarların kimliğini doğrulamak için kullanılan sistemlerde uygun güncellemeleri yapamadı; yani anahtarların tüketici mi yoksa kurumsal anahtar mı olduğunu belirleyemedi. Posta sistemi mühendisleri, güncellemelerin yapıldığını varsayarak ek bir kimlik doğrulaması yapmamış ve posta sistemini ne tür bir anahtarın kullanıldığı konusunda kör bırakmıştır.
Kısacası, bu kütüphaneler düzgün bir şekilde güncellenmiş miydi? diğer tüm başarısızlık noktalarıStorm-0558 korsanları, hedefledikleri kurumların kullandığı kurumsal e-posta hesaplarına ulaşamamış olabilir.
Microsoft, imzalama anahtarını ilk etapta kilitlenme dökümüne gönderen hata da dahil olmak üzere yukarıdaki tüm sorunları düzelttiğini söylüyor. Şirket, gönderisinde “sistemleri sürekli olarak güçlendirdiğini” ekliyor. Microsoft, hem Senatör Ron Wyden (D-OR) hem de Tenable CEO’su Amit Yoran’ın “ihmalkar” olarak nitelendirdiği güvenlik uygulamaları nedeniyle giderek daha fazla ateş altında kalıyor; Yoran, Microsoft’u güvenlik kusurlarına tepki verme konusunda çok yavaş olmakla suçluyor.