Microsoft Çarşamba günü, Çin merkezli bir tehdit aktörünün Fırtına-0558 bir mühendisin kurumsal hesabını ele geçirerek jetonları taklit etmek ve Outlook’a erişmek için etkin olmayan tüketici imzalama anahtarını elde etti.
Bu, düşmanın hata ayıklama ortamına erişmesini sağladı. içerilen bilgi tüketici imzalama sisteminin çökmesiyle ilgili ve anahtarı çalmak. Sistem çökmesi Nisan 2021’de gerçekleşti.
Microsoft Güvenlik Yanıt Merkezi (MSRC) “Nisan 2021’de tüketici imzalama sistemi çökmesi, çöken sürecin anlık görüntüsüne (“çökme dökümü”) neden oldu” dedi. söz konusu otopsi raporunda.
“Hassas bilgileri çıkaran kilitlenme dökümleri, imzalama anahtarını içermemelidir. Bu durumda, bir yarış koşulu, anahtarın kilitlenme dökümünde bulunmasına izin verdi. Kilitlenme dökümünde anahtar malzemenin varlığı, sistemlerimiz tarafından tespit edilmedi. “
Windows üreticisi, çökme dökümünün internete bağlı kurumsal ağdaki bir hata ayıklama ortamına taşındığını ve Storm-0558’in mühendisin kurumsal hesabına sızdıktan sonra anahtarı aldığından şüphelenildiğini söyledi.
Microsoft, günlük saklama politikaları nedeniyle sızıntıya dair somut kanıt sunan günlüklere sahip olmadığını belirttiğinden, tehdit aktörü tarafından benimsenen mekanizmanın tam olarak bu olup olmadığı şu anda bilinmiyor.
Microsoft’un raporunda ayrıca hedef odaklı kimlik avı ve jeton hırsızlığı yapan kötü amaçlı yazılımların konuşlandırılmasından bahsediliyor, ancak mühendisin hesabının ilk etapta nasıl ihlal edildiği, diğer kurumsal hesapların saldırıya uğrayıp uğramadığı ve bunun ne zaman farkına varıldığı konusunda ayrıntılı bilgi verilmedi. uzlaşmanın.
Wiz güvenlik araştırmacısı Amitai Cohen, “Rapor, kilitlenme dökümünün hata ayıklama ortamına ne zaman aktarıldığını veya mühendisin hesabının ne zaman ele geçirildiğini açıkça belirtmiyor; yalnızca bu olayların her birinin Nisan 2021’den sonra meydana geldiğini belirtiyor.” söz konusu.
“Her ikisinin de zaman çizelgesinde mümkün olan en erken noktada (örneğin Mayıs 2021) gerçekleştiğini varsayarsak, bu, tehdit aktörünün Haziran 2023’te keşfedilmeden önce iki yıldan fazla bir süredir imzalama anahtarına sahip olabileceği anlamına gelir. “
Ancak Microsoft, Temmuz 2023’te “bu tehdit aktörünün en az Ağustos 2021’den bu yana OAuth uygulamalarına, token hırsızlığına ve Microsoft hesaplarına karşı token tekrar oynatılmasına ilgi gösterdiğini” belirtti; bu da muhtemelen faaliyetin yaklaşık iki yıldır devam ediyor olabileceğini öne sürüyor .
Bununla birlikte, en son gelişme, imza anahtarının “yüksek düzeyde teknik zanaat ve operasyonel güvenliğe” sahip yetenekli bir aktörün eline geçmesiyle sonuçlanan bir dizi ardışık güvenlik kazasına dair fikir sunuyor.
Storm-0558, Microsoft tarafından, tüketici imzalama anahtarını kullanan ve Outlook Web Access (OWA) ve Outlook.com’a yetkisiz erişim elde eden yaklaşık 25 kuruluşun ihlaliyle bağlantılı olan bir bilgisayar korsanlığı grubuna atanan takma addır.
Sıfır gün sorununun nedeni, Azure AD belirteçlerinin imzalanması için anahtarın güvenilmesine izin veren bir doğrulama hatasıydı. Kanıtlar, kötü amaçlı siber faaliyetin Haziran 2023’te tespit edilmesinden bir ay önce başladığını gösteriyor.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Bu da “posta sisteminin kurumsal e-posta talebini tüketici anahtarıyla imzalanmış bir güvenlik belirteci kullanarak kabul etmesi” sayesinde mümkün oldu. “Sorun” o zamandan beri Microsoft tarafından düzeltildi.
Bulut güvenlik firması Wiz daha sonra Temmuz ayında ele geçirilen Microsoft tüketici imzalama anahtarının diğer bulut hizmetlerine yaygın erişime olanak sağlayabileceğini açıkladı.
Ancak Microsoft, e-posta gelen kutuları dışındaki uygulamalara yetkisiz erişime ilişkin ek bir kanıt bulamadığını söyledi. Ayrıca, özelliğin Purview Audit (Premium) lisanslarına sahip müşterilerle sınırlı olduğu ve dolayısıyla adli tıp verilerinin diğer kişilerle sınırlandırıldığı yönündeki eleştirilerin ardından güvenlik günlüğe erişimini genişletti.
(Hikaye yayınlandıktan sonra Wiz’den ek bilgiler içerecek şekilde güncellendi.)