Microsoft, e-posta ihlaline neden olan rolü 0 gün içinde gizlemek için çaba harcıyor
Resimleri Getty | Aurich Lawson
Cuma günü Microsoft, Çin hükümeti için çalışan bilgisayar korsanlarına ABD Dışişleri ve Ticaret Bakanlığı ve diğer hassas kuruluşlar da dahil olmak üzere 25 kuruluşun e-posta hesaplarına erişim sağlayan bir ihlalin nedenini açıklamaya çalıştı.
Cuma günü yayınlanan bir gönderide şirket, güvenlik ihlalinin Exchange Online e-posta hizmetindeki veya büyük kuruluşlar için çoklu oturum açma ve çok faktörlü kimlik doğrulamayı yöneten bir kimlik hizmeti olan Azure Active Directory’deki üç güvenlik açığından kaynaklandığını belirtti. Microsoft’un Tehdit İstihbaratı ekibi, o ülkenin hükümeti adına casusluk yapan Çin merkezli bir bilgisayar korsanlığı ekibi olan Storm-0558’in 15 Mayıs’tan itibaren onları istismar ettiğini söyledi. izinsiz giriş
Her şeyden önce: Z kelimesinden kaçının
Güvenlik uzmanları arasında standart tabirle bu, Storm-0558’in Microsoft bulut hizmetlerinde sıfır günden yararlandığı anlamına gelir. “Sıfır gün”, satıcının bir yaması bulunmadan önce yabancılar tarafından bilinen veya onlar tarafından istismar edilen bir güvenlik açığıdır. “İstismar”, satıcıya veya başkalarına zarar verecek şekilde bir güvenlik açığını tetiklemek için kod veya başka araçlar kullanmak anlamına gelir.
Storm-0558 izinsiz girişinde her iki koşul da açıkça karşılanırken, Cuma günkü gönderi ve Microsoft’un Salı günü yayınladığı diğer iki kişi, “güvenlik açığı” veya “sıfır gün” kelimelerinden kaçınmak için geriye doğru eğilin. Bunun yerine şirket, ulus devlet bilgisayar korsanlarının şirketin en büyük müşterilerinden bazılarının e-posta hesaplarını nasıl takip ettiğini açıklamaya çalışırken “sorun”, “hata” ve “kusur” gibi çok daha amorf terimler kullanıyor.
Microsoft araştırmacıları Cuma günü “Exchange Online etkinliğinin derinlemesine analizi, aktörün aslında edinilmiş bir Microsoft hesabı (MSA) tüketici imzalama anahtarını kullanarak Azure AD belirteçlerini taklit ettiğini keşfetti” diye yazdı. “Bu, Microsoft kodundaki bir doğrulama hatası sayesinde mümkün oldu.”
Gönderinin ilerleyen kısımlarında araştırmacılar, Storm-0558’in tüketici bulut hesapları için kullanılan etkin olmayan bir imzalama anahtarı edindiğini ve bir şekilde bunu, sözde güçlendirilmiş bir bulut hizmeti olan Azure AD için belirteçler oluşturmak için kullanmayı başardığını söyledi. hem dahili ağlarındaki hem de bulut tabanlı hesaplardaki oturumları yönetmek için kullanan kuruluşların oranı.
Gönderide, “Aktörün anahtarı elde etme yöntemi devam eden bir soruşturma konusudur” ifadesi yer aldı. “Anahtar yalnızca MSA hesapları için tasarlanmış olsa da, bir doğrulama sorunu bu anahtarın Azure AD belirteçlerini imzalamak için güvenilir olmasına izin verdi.”
İki paragraf sonra Microsoft, Storm-0558’in Outlook Web Access (OWA) için bir programlama arabirimi aracılığıyla Exchange e-posta hesaplarına erişim elde etmek için sahte belirteci kullandığını söyledi. Araştırmacılar şunları yazdı:
Sahte jetondan yararlanan meşru bir müşteri akışı aracılığıyla kimliği doğrulandıktan sonra tehdit aktörü, OWA tarafından kullanılan GetAccessTokenForResource API’sinden Exchange Online için bir jeton almak üzere OWA API’sine erişti. Oyuncu, bir tasarım hatası nedeniyle bu API’den daha önce yayınlanan bir tanesini sunarak yeni erişim belirteçleri elde edebildi. GetAccessTokenForResourceAPI’deki bu kusur, o zamandan beri sırasıyla yalnızca Azure AD veya MSA’dan verilen belirteçleri kabul edecek şekilde düzeltildi. Oyuncu, OWA API’sinden posta mesajlarını almak için bu belirteçleri kullandı.
Olayın sade bir İngilizce özeti şöyle görünebilir: Microsoft, bulut hizmetinde, Storm-0558’in müşteri hesaplarına erişim elde etmek için istismar etmesinden sonra keşfedilen üç güvenlik açığını yamaladı. Microsoft’un, diğer bulut şirketlerinin yaptığı gibi CVE (Common Vulnerabilities and Exures) sistemi altında bir izleme belirlemesi sunması da yararlı olacaktır. Peki Microsoft neden aynısını yapmıyor?
Bağımsız araştırmacı Kevin Beaumont, Mastodon’da “Microsoft’un bulut hizmetlerindeki güvenlik açıklarını asla kabul ettiğini sanmıyorum (ayrıca bulut için CVE’ler yoktur) ve Microsoft’ta ihlal demiyorsunuz” dedi. “Orijinal MSRC blogunda Microsoft’un bulut hizmetleriyle ilgili olarak ‘istismar’ dediler ve siz bir güvenlik açığından yararlanıyorsunuz. Bu yüzden, evet, güvenlik açıkları olduğunu söylemenin adil olduğunu düşünüyorum.”
Microsoft şu yorumu yayınladı: “Oyuncunun bir 0day’ı istismar ettiğine dair hiçbir kanıtımız yok.” Microsoft ayrıntı vermedi. Salı günü yayınlanan iki gönderiden birinde Microsoft şunları söyledi: “Aktör, Azure AD kullanıcılarının kimliğine bürünmek ve kurumsal postaya erişim elde etmek için bir belirteç doğrulama sorunundan yararlandı.” Ars, tehdit aktörü tarafından tam olarak neyin istismar edildiğine dair bir açıklama istedi.
Oynamak için ödeme güvenliği
Microsoft, ihlalin temel nedeni ve kendi rolü konusunda anlaşılmaz olmasının yanı sıra, bazı kurbanların izinsiz girişi tespit etmek için kullanmış olabilecekleri ayrıntıları sakladığı için eleştiri altında. Storm-0558 tarafından ihlal edilen bir federal kurum olan ABD Siber Güvenlik ve Bilgi Güvenliği Dairesi’ne göre, müşterilerin Microsoft bulut olaylarını etkileyen oturum açma bilgilerini ve diğer önemli olayları izleyen denetim günlükleri aracılığıyla izinsiz girişi keşfetti.
Ancak Microsoft, müşterilerin bu kayıtlara erişmek için ek bir ücret ödemesini şart koşuyor. Bu tür bir erişime izin veren bir “E5” işletme lisansının maliyeti, müşteri başına aylık 36 ABD doları olan E3 lisansı maliyetine kıyasla, kullanıcı başına aylık 57 ABD dolarıdır.
“Microsoft’un yalnızca E5 lisansı için fazladan para ödeyenlerin ilgili günlük dosyalarını görmesine izin vermesi gerçeği, şey, bir şey…” Analygence’ın kıdemli baş analisti Will Dorman bir röportajda söyledi. “E5 ödeyen bir müşteri değilseniz, ele geçirildiğinizi görme yeteneğinizi kaybedersiniz.”
Microsoft’un açıklamaları, güvenlik açıklarının kuruluşların hesaplarını ihlal etmede oynadığı rol konusunda çok az olsa da, Cuma günkü açıklama, insanların Storm-0558 tarafından hedef alınıp alınmadığını veya ele geçirilip geçirilmediğini belirlemek için kullanabilecekleri yararlı göstergeler sağlıyor.
