Wiz güvenlik araştırmacılarına göre, Storm-0558 Çinli hackerlar tarafından çalınan Microsoft Tüketici İmzalama Anahtarı onlara Exchange Online ve Outlook.com hesaplarının çok ötesinde erişim sağladı.
Redmond, 12 Temmuz'da saldırganların yaklaşık iki düzine organizasyonun Borsa ve Azure Active Directory (AD) hesaplarını ihlal ettiğini açıkladı. Bu, GetAccessTokenForResourceapi'de şimdi paylaşılan sıfır gün doğrulama sorunundan yararlanarak elde edildi, bu da imzalı erişim belirteçleri oluşturmalarına ve hedeflenen kuruluşlar içindeki hesapları taklit etmelerini sağladı.
Etkilenen kuruluşlar, ABD ve Batı Avrupa bölgelerindeki devlet kurumlarını, aralarında ABD eyaleti ve ticaret departmanları içeriyordu.
Cuma günü, Wiz güvenlik araştırmacısı Shir Tamari, etkinin Microsoft'un OpenID V2.0 ile faaliyet gösteren tüm Azure reklam uygulamalarına yayıldığını söyledi. Bunun nedeni, çalınan Key'in kişisel hesaplar (örn. Xbox, Skype) ve çok kiracı AAD uygulamaları için herhangi bir OpenID v2.0 erişim belirtecini imzalama yeteneğinden kaynaklanıyordu.
Microsoft, bu makalenin yayınlanmasından sonra yalnızca kişisel hesapları kabul eden ve doğrulama hatası olanları etkilediğini açıkladı.
Microsoft, yalnızca çevrimiçi Exchange ve Outlook'un etkilendiğini söylerken, Wiz tehdit aktörlerinin etkilenen herhangi bir müşteri veya bulut tabanlı Microsoft uygulamasındaki herhangi bir hesabı taklit etmek için tehlikeye atılan Microsoft Tüketici imza anahtarını kullanabileceğini söylüyor.
Tamari, "Bu, Outlook, SharePoint, OneDrive ve ekipler gibi yönetilen Microsoft uygulamalarının yanı sıra, 'Microsoft ile Giriş' işlevselliğine izin verenler de dahil olmak üzere Microsoft hesap kimlik doğrulamasını destekleyen müşterilerin uygulamalarını da içeriyor." Dedi.
Wiz CTO ve kurucu ortağı Ami Luttwak da BleepingComputer'a verdiği demeçte, "Microsoft dünyasındaki her şey Active Directory Auth Tokens'i erişim için kullanıyor."
"AAD imzalama anahtarına sahip bir saldırgan, hayal edebileceğiniz en güçlü saldırgandır, çünkü hemen hemen her uygulamaya - herhangi bir kullanıcı olarak erişebilirler. Bu nihai siber zeka 'şekil değiştirici' süper güçtür."
Güvenlik ihlaline yanıt olarak Microsoft, tehdit aktörlerinin diğer uzlaşmış anahtarlara erişememesini sağlamak için geçerli tüm MSA imzalama anahtarlarını iptal etti.
Bu önlem aynı zamanda yeni erişim belirteçleri üretme girişimlerini de engelledi. Ayrıca Redmond, yeni oluşturulan erişim belirteçlerini şirketin kurumsal sistemleri için anahtar mağazasına yerleştirdi.
Çalınan imzalama anahtarını geçersiz kıldıktan sonra Microsoft, aynı Auth token dövme tekniğini kullanarak müşterilerinin hesaplarına ek yetkisiz erişim öneren başka bir kanıt bulamadı.
Buna ek olarak, Microsoft, Fırtına-0558 taktiklerinde bir değişim gözlemlediğini ve tehdit aktörlerinin artık herhangi bir imza anahtarına erişemediğini gösterdiğini bildirdi.
Son olarak, şirket geçen Cuma günü Çinli hackerların Microsoft Tüketici İmzalama Anahtarını nasıl çaldığını hala bilmediğini açıkladı. Bununla birlikte, CISA'nın baskısından sonra, savunucuların gelecekte benzer ihlal girişimlerini tespit etmesine yardımcı olmak için bulut kaydı verilerine erişimi ücretsiz olarak genişletmeyi kabul ettiler.
Bundan önce, bu günlüğü yetenekleri yalnızca Purview Denetimi (Premium) günlük lisansı için ödeme yapan Microsoft müşterileri tarafından kullanılabilirdi. Sonuç olarak Microsoft, kuruluşların Storm-0558 saldırılarını derhal tespit etmesini engellemek için önemli eleştirilerle karşılaştı.
Tamari, "Bu aşamada, hem Microsoft uygulamaları hem de müşteri uygulamaları olan potansiyel olarak savunmasız milyonlarca uygulama olduğu ve çoğunluğu tehlikeye girip girmediklerini belirlemek için yeterli günlüklerden yoksun olduğu için, olayın tam kapsamını belirlemek zor."
GÜNCELLEME 7/22/23: Microsoft'un açıklamaları ile güncellenen makale.
Microsoft, bilgisayar korsanlarının Azure Reklam İmzalama Anahtarını Nasıl Çalıştırdığından Emin Olmuyor
Microsoft: Çinli hackerlar ABD Govt Exchange e -posta hesaplarını ihlal etti
Microsoft, DDOS saldırılarının neden olduğu Azure, Outlook Kesintileri Onayladı
Microsoft 365 kullanıcıları Outlook'u rapor eder, ekipler başlamaz veya donmaz
Microsoft: Azure portal kesintisi “Spike” trafik neden oldu
Kaynak: Bleeping Computer