Ne bilmek istiyorsun
- Microsoft, ABD hükümet yetkililerine ait birden fazla hesabın ihlalinin ardından bir siber güvenlik danışma paneli tarafından inceleme altına alındı.
- Şirket şimdi, hacker grubu Storm-0558’in bu hesaplara Windows kilitlenme dökümünden bir imzalama anahtarı aracılığıyla erişebildiğini açıkladı.
- Microsoft, ihlalin çözüldüğünü ve yalnızca Exchange Online ve Outlook’u etkilediğini belirtiyor.
- Bir güvenlik araştırmacısı, ihlalin daha yaygın olduğunu ve Outlook, SharePoint, OneDrive ve Teams gibi bulut tabanlı Microsoft platformlarını etkilediğini öne sürerek iddialara karşı çıktı.
Bir süre önce, Başkan Biden’ın yönetimi tarafından görevlendirilen bir ABD siber güvenlik danışma paneli, Storm-0558 olarak bilinen Çinli bir hacker grubunun iki düzine devlet kurumuna ait Microsoft e-posta hesaplarına sızmayı başarmasının ardından Microsoft’u inceleyen bir soruşturma başlattı. Panel, hikayede daha fazlası olabileceği ve şirketin bu konuda pek şeffaf olmadığı yönündeki spekülasyonlarla Microsoft’un konuya katılımını belirlemeyi amaçlıyor.
Microsoft sorunu hafifletmeyi başarsa da olayın nasıl gerçekleştiğini ve saldırganların kimlik bilgilerine nasıl erişebildiğini gösteren ayrıntılı bir açıklama sunmadı.
tarafından hazırlanan yeni bir rapora göre BleepingBilgisayarMicrosoft, Storm-0558’in bir Microsoft mühendisinin kurumsal hesabını ihlal ettikten sonra Windows çökme dökümünden bir imzalama anahtarı çalarak yetkililerin kimlik bilgilerine erişebildiğini belirtti.
Bilgisayar korsanları, birden fazla kuruluşa ait Exchange Online ve Azure Active Directory hesaplarının güvenliğini ihlal etmek için anahtarı kullandı. İhlalden etkilenen taraflar arasında ABD Dışişleri ve Ticaret Bakanlıkları da dahil olmak üzere ABD merkezli devlet kurumları yer aldı. Bu, 27 Temmuz’da Siber Güvenlik İnceleme Kurulu’ndan konuyu araştırmasını talep eden bir mektup yazan Senatör Ron Wyden’inki de dahil olmak üzere pek çok kişinin kaşlarını çattı.
O zamanlar önemli materyal içermediğine inanılan bu kilitlenme dökümünün daha sonra yalıtılmış üretim ağından internete bağlı kurumsal ağ üzerindeki hata ayıklama ortamımıza taşındığını tespit ettik. Bu, standart hata ayıklama süreçlerimizle tutarlıdır. Kimlik bilgisi tarama yöntemlerimiz bu durumun varlığını tespit edemedi (bu sorun düzeltildi).
Microsoft
Microsoft ayrıca, Çinli hacker grubunun GetAccessTokenForResourceAPI’de sıfır gün doğrulama sorunundan yararlandığını ve bunun o zamandan beri imzalı erişim belirteçlerini taklit edecek şekilde hafifletildiğini ve böylece yetkililerin hesaplarını taklit etmelerine olanak sağladığını ayrıntılı olarak açıkladı.
Şirket ayrıca, yetkililerin hesaplarını ihlal etmek için kullanılan MSA anahtarının, tüketicinin imzalama sistemi arızalandıktan sonra kilitlenme dökümüne sızdığı Nisan 2021 tarihine kadar uzandığını da açıkladı.
Microsoft’a göre:
Günlük saklama politikaları nedeniyle, bu aktörün gerçekleştirdiği sızdırma işlemine ilişkin spesifik kanıtları içeren günlüklerimiz yok, ancak bu, aktörün anahtarı elde ettiği en olası mekanizmaydı.
Şirket, kaza dökümünde imza anahtarlarının yer almaması gerekirken, yarış koşullarının bunun dahil edilmesine yol açtığını da sözlerine ekledi. Özellikle kilitlenme dökümü şirketin üretim ağından internete bağlı kurumsal hata ayıklama ortamına aktarıldı. Ancak Microsoft, kimlik bilgisi tarama yöntemlerinin saldırganların varlığını tespit edemediğini belirterek sorunun çözüldüğünü belirtti.
Analiz: İhlalin ciddiyeti neydi?
Wiz’de güvenlik araştırmacısı olan Shir Tamari’ye göre, Çinli bilgisayar korsanlarının gerçekleştirdiği ihlal Exchange Online ve Outlook’un ötesine de yayıldı. Araştırmacı, ihlalin saldırganlara Microsoft bulut hizmetlerine erişim sağladığını belirtti.
Bu hizmetlere yaygın erişim, saldırganların anahtardan yararlanarak Outlook, SharePoint, OneDrive ve Teams dahil neredeyse tüm bulut tabanlı Microsoft platformlarının kimliğine bürünebileceği anlamına geliyor. Microsoft Hesabı kimlik doğrulamasını destekleyen uygulamaları da unutmamak gerekir.
Ancak Microsoft, anahtarın yalnızca kişisel hesapları kabul eden uygulamalarda kullanılabileceği yönündeki iddiaları yalanladı. Bu da şirketin, saldırganların güvenliği ihlal edilmiş anahtarlara erişme çabalarını sekteye uğratmak için tüm geçerli MSA imzalama anahtarlarını iptal etmesine yol açtı. Aynı şekilde bu durum yeni erişim tokenlarının oluşturulmasını da engelledi. Son olarak şirket, yakın zamanda oluşturulan erişim jetonlarını kurumsal sistemlerinde kullanılan anahtar deposuna taşıdı.
Wiz’in CTO’su ve Kurucu Ortağı Ami Luttwak, BleepingComputer ile konuşurken şu duyguları paylaştı:
Microsoft dünyasındaki her şey erişim için Azure Active Directory kimlik doğrulama belirteçlerinden yararlanır. AAD imzalama anahtarına sahip bir saldırgan, hayal edebileceğiniz en güçlü saldırgandır çünkü neredeyse her uygulamaya, herhangi bir kullanıcı olarak erişebilir. Bu, siber istihbaratın şekil değiştiren nihai süper gücüdür.
Tenable CEO’su Amit Yorangüvenlik ihlalleri ve güvenlik uygulamalarına ilişkin şeffaflık eksikliğini gerekçe göstererek Microsoft’a defalarca seslendi.