Еден месец по откривањето на сајбер нападите, Microsoft не знае како напаѓачите дошле до Azure AD клучот

Помина еден месец откако дознавме дека кинески хакери се здобиле со пристап до Outlook-имејл профилите на 25 светски организации, a Microsoft и натаму не е сигурен како напаѓачите дошле до клучот кој ги овозможил нападите. Во нападот хакерите имале пристап до „MSA consumer signing“ клуч од неактивен Microsoft профил кој го искористиле за да генерираат нови токени за авторизација. За нападот е осомничена кинеската шпионска сајбер-група која Microsoft ја следи под името Storm-0558.

Методот со кој групата дошла до клучот засега е непотврден, а Microsoft вели дека и натаму е цел на истрага.

MSA consumer signing key се користат како потврда за токените за авторизација на Microsoft профилите. Токените се користат да го потврдат идентитетот на корисникот кој се логирал на некој сервис на Microsoft; На пример, OneDrive, Xbox Live или како во случајов Outlook. Клучевите се тајни, и Microsoft не ги споделува со јавноста. Ова овозможува безбедност на профилите, и спречува неавторизиран пристап до овие профили.

Кога корисникот ќе пристапи на некој од сервисите на Microsoft, уредот испраќа барање до серверите на Microsoft. Овие сервери го потврдуваат идентитетот на корисникот со проверка на „потписот“ на токенот за автентикација. Ако потписот е валиден тогаш корисникот е најавен и добива пристап.

Инцидентот го пријавиле државни претставници на САД кои забележале неавторизиран пристап до Exchange Online имејл сервисите на 16-ти јуни. Сепак, истрагата открила дека првиот неовластен пристап е на 15-ти мај. Дел од 25-те организации кои се цел на нападите се и Стејт департментот и Одделот за трговија.

Истрагата на Microsoft утврди дека со фалсификување на токени за автентикација за пристап до е-пошта на корисниците, Storm-0558 се здобиле со пристап до е-поштата на клиентите на Outlook Web Access во Exchange Online (OWA) и Outlook.com.

Напаѓачот користел MSA-клуч со кој се здобил порано, за да фалсификува токени за да пристапи до OWA и Outlook.com. Клучевите MSA (consumer) и Azure AD (enterprise) се издаваат и управуваат од посебни системи, и треба да важат само за нивните соодветни системи. Напаѓачот го искористил проблемот со валидацијата на токен за да ги имитира корисниците на Azure AD и да добие пристап до деловната пошта. Немаме индикации дека клучевите Azure AD или било кои други MSA клучеви биле користени од овој напаѓач. OWA и Outlook.com се единствените услуги за кои откривме дека напаѓачот користи фалсификувани токени…

Напаѓачот се здобил со пристап единствено до електронската пошта на жртвите. Кражбата на податоци е ограничена единствено на податоците кои се достапни на електронска пошта и исклучиво за таргетирани корисници.

Старите клучеви се невалидни

На крајот на минатиот месец Microsoft го отповика клучот со кој се креирани фалсификуваните токени. Клучот е заменет и напаѓачот не можеше да го користи за да креира нови фалсификати. Истовремено, блокирани се и креираните токени. Microsoft ги извести 25-те организации и неколкумина корисници на профили кои се поврзани со овие организации.

По повлекувањето на идентификуваниот клуч не се забележани активности поврзани со клучеви, пренесе компанијата.

Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!

basic

членство

42 ден./мес

зачлени се

1337

членство

125 ден./мес

зачлени се
* плаќањето е на годишно ниво

Доколку веќе имаш премиум членство, најави се тука.

Добивај известувања
Извести ме за
guest
0 Коментари
Inline Feedbacks
View all comments