Şirketin araştırması, Microsoft’un bazı güvenlik yanlış adımlarının, Çin merkezli bir tehdit aktörünün kimlik doğrulama belirteçleri oluşturmasına ve bu yılın başlarında yaklaşık 25 Microsoft kurumsal müşterisinden gelen kullanıcı e-postalarına erişmesine olanak sağladığını gösterdi.
Microsoft’un Storm-0558 olarak takip ettiği Çinli bir siber casusluk grubunun saldırıları, tehdit aktörünün kurumsal e-posta hesaplarına erişim için Azure AD belirteçlerini oluşturmak üzere bir Microsoft hesabı (MSA) tüketici imzalama anahtarını kullanması nedeniyle dikkat çekiciydi. MSA tüketici anahtarları genellikle Outlook.com, OneDrive ve Xbox Live gibi bir Microsoft tüketici uygulamasında veya hizmetinde kriptografik olarak oturum açmak için kullanılır.
Siber Casusluk Kampanyası
Storm-0558’in, en az 2021’den beri aktif olan Çin bağlantılı bir siber casusluk grubu olduğuna inanılıyor. Hedefleri arasında ABD ve Avrupalı diplomatik kuruluşlar, yasama organları, medya şirketleri, İnternet servis sağlayıcıları ve telekomünikasyon ekipmanı üreticileri yer alıyor. Tehdit aktörü, saldırılarının çoğunda hedef e-posta hesaplarına erişim sağlamak için kimlik bilgisi toplama, kimlik avı kampanyaları ve OAuth belirteci saldırıları kullandı.
Microsoft, grubun en son kampanyasını Mayıs ayında bir müşterinin Exchange Server hesabıyla ilgili anormal bir etkinlik bildirdiğinde keşfetti. Şirketin ilk araştırması, tehdit grubunun müşterinin Exchange çevrimiçi verilerine Outlook Web Access aracılığıyla eriştiğini gösterdi. Başlangıçta Microsoft, düşmanın bir şekilde bir Azure AD kurumsal imzalama anahtarı elde ettiğini ve bunu Exchange Server’da kimlik doğrulaması yapmak üzere belirteçler oluşturmak için kullandığını varsaydı. Ancak daha ileri araştırmalar, Storn-0558’in aslında token sahteciliği yapmak için edinilmiş bir MSA tüketici imzalama anahtarını kullandığını gösterdi; bu, şirketin o zamanlar “doğrulama hatası” olarak nitelendirdiği bir şeydi.
İçinde bu hafta rapor verMicrosoft, olayla ilgili daha sonra iki buçuk ay süren teknik araştırmasının bulgularını yayınladı; bu, saldırı zincirinin nasıl işlediğini ve her şeyi mümkün kılan artık düzeltilmiş hataları tam olarak açıklıyor.
Bir Dizi Talihsiz Hata
Şirkete göre sorun, imza anahtarının bir kaza dökümünde bulunmasıyla sonuçlanan, artık çözülmüş bir yarış koşuluyla başladı.
Tipik olarak imzalama anahtarının, şirketin izole edilmiş ve çeşitli güvenlik kontrollerini içeren, normalde güvenli olan üretim ortamından asla kaçmaması gerekir. Bunlar arasında çalışanlar için geçmiş kontrolleri, özel üretim hesapları, güvenli iş istasyonları ve donanım belirteci tabanlı iki faktörlü kimlik doğrulama yer alıyor. Microsoft bu haftaki raporunda, “Bu ortamdaki kontroller aynı zamanda e-posta, konferans, web araştırması ve diğer işbirliği araçlarının kullanımını da engelliyor ve bu da ortak hesap ihlali vektörlerine yol açabilir.” dedi.
Ancak Nisan 2021’de üretim ortamındaki bir tüketici anahtar imzalama sistemi çöktüğünde ve çökme dökümüne veya çöken sistemin anlık görüntüsüne bir imzalama anahtarı eklendiğinde bu kontroller yeterli olmadı. Normalde anahtarın dökümden çıkarılması gerekirdi ancak yarış durumu nedeniyle bu gerçekleşmedi. Daha da kötüsü, Microsoft’un kontrollerinden hiçbiri kilitlenme dökümündeki hassas bilgileri tespit edemedi ve bu durum sonunda hata ayıklama ekibinin Microsoft’un Internet’e bağlı kurumsal ağında bulunmasıyla sonuçlandı. Burada da şirketin hata ayıklama ortamındaki kimlik bilgisi verilerini tespit etmeye yönelik kontrolleri, sızdırılan tüketici anahtarını tespit edemedi.
Microsoft’un açıkladığı gibi, şirketin kurumsal ortamı güvenli olmakla birlikte, aynı zamanda kullanıcıları hedef odaklı kimlik avı saldırılarına, jeton hırsızlığı yapan kötü amaçlı yazılımlara ve diğer saldırı vektörlerine karşı daha savunmasız hale getiren e-posta, konferans ve diğer işbirliği araçlarının kullanımına da izin veriyor.
Bir noktada, Storm-0558 aktörleri bir Microsoft mühendisinin kurumsal hesabını başarıyla ele geçirmeyi başardı ve hesabın hata ayıklama ortamına erişimini kullanarak oradan kaçak anahtar da dahil olmak üzere verileri çaldı.
Tüketicinin Anahtar Gizemi Açıklandı
Tüketici anahtarının saldırganın Azure AD belirteçlerini taklit etmesine nasıl izin verdiği konusunda Microsoft, Eylül 2018’de kurduğu ortak bir anahtar meta veri yayınlama uç noktasına işaret ediyor. “Bu birleştirilmiş teklifin bir parçası olarak Microsoft, anahtar kapsamı doğrulama gereksinimlerini açıklığa kavuşturmak için belgeleri güncelledi: Microsoft, kurumsal hesaplar için hangi anahtarın kullanılacağını ve tüketici hesapları için hangisinin kullanılacağını söyledi.
Ancak burada da, belirsiz belgeler ve kitaplık güncellemeleri, API’ler ve diğer faktörlerle ilgili çeşitli nedenlerden dolayı, anahtar kapsam doğrulaması amaçlandığı gibi çalışmadı. Microsoft, net sonucun “e-posta sisteminin, tüketici anahtarıyla imzalanmış bir güvenlik belirtecini kullanarak kurumsal e-posta talebini kabul etmesi” olduğunu söyledi.
Sorunu çözmek için Microsoft, anahtar verilerin kilitlenme dökümlerine dahil edilmesine izin veren yarış koşulunu ortadan kaldırdı. Şirket ayrıca hata ayıklama ortamı da dahil olmak üzere imza anahtarlarının bulunmaması gereken yerlerde tespit edilmesine yönelik mekanizmalarını da geliştirdi. Ayrıca Microsoft, benzer bir aksilik olasılığını ortadan kaldırmak için otomatik kapsam doğrulama mekanizmasını geliştirdiğini söyledi.