Storm-0558'in Anahtar Elde Etmesine İlişkin Teknik Soruşturma Sonuçları

 (msrc.microsoft.com)
1 puan yazan GN⁺ 2023-09-07 | 1 yorum | WhatsApp'ta paylaş
  • Makale, Çin merkezli tehdit aktörü Storm-0558'in Microsoft hesabı (MSA) tüketici anahtarını nasıl ele geçirerek token sahteciliği yaptığını ve OWA ile Outlook.com'a eriştiğini ortaya koyan Microsoft'un teknik soruşturma sonuçlarını ele alıyor.
  • Microsoft, çalışan erişimini kontrol eden son derece güvenli ve izole bir üretim ortamı sürdürüyor; buna geçmiş kontrolleri, özel hesaplar, güvenli erişim iş istasyonları ve donanım token cihazlarıyla çok faktörlü kimlik doğrulama dahildir.
  • Nisan 2021'de bir sistem çökmesi yaşandı ve çökme sürecinin bir anlık görüntüsü oluşturuldu; bu görüntü, bir yarış durumu nedeniyle imzalama anahtarını da içeriyordu. Bu sorun daha sonra düzeltildi.
  • Anahtar materyali içermediği düşünülen çökme dökümü, standart hata ayıklama süreci uyarınca izole üretim ağından internet bağlantılı kurumsal ağdaki hata ayıklama ortamına taşındı.
  • Storm-0558 aktörü, anahtarı içeren çökme dökümünün bulunduğu hata ayıklama ortamına erişebilen bir Microsoft mühendisinin kurumsal hesabını ele geçirebildi.
  • Tüketici anahtarı, Eylül 2018'de kullanıma sunulan ortak anahtar meta veri yayımlama uç noktası nedeniyle kurumsal e-postaya erişebildi. Bu, hem tüketici hem de kurumsal uygulamalarla çalışan uygulamaları desteklemek içindi.
  • E-posta sisteminin geliştiricileri, kütüphanenin tam doğrulama yaptığını yanlış varsaydıkları ve gerekli yayımlayıcı/kapsam doğrulamasını eklemedikleri için, e-posta sistemi tüketici anahtarıyla imzalanmış güvenlik tokenlarını kullanan kurumsal e-posta isteklerini kabul etti. Bu sorun düzeltildi.
  • Microsoft, katmanlı savunma stratejisinin bir parçası olarak sistemlerini sürekli güçlendiriyor. Bu bulgulara özel iyileştirmeler arasında, çökme dökümlerine imzalama anahtarlarının dahil olmasına izin veren yarış durumunun giderilmesi, çökme dökümlerine yanlışlıkla eklenen anahtar materyaline karşı önleme, tespit ve müdahalenin güçlendirilmesi, hata ayıklama ortamında imzalama anahtarlarının varlığını daha iyi tespit etmek için kimlik bilgisi taramasının güçlendirilmesi ve kimlik doğrulama kütüphanesinde anahtar kapsamı doğrulamasını otomatikleştiren güçlendirilmiş bir kütüphanenin yayımlanması yer alıyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-09-07
Hacker News yorumu
  • Storm-0558 anahtarının ele geçirilmesindeki ölümcül başarısızlıkla ilgili makale
  • Nadir bir yarış durumunun yol açtığı beklenmedik bir sonuçtan kaynaklanan başarısızlık
  • Ele geçirilen anahtar eskiydi ve normalde yalnızca tüketici e-posta hesaplarına erişim vermesi gerekiyordu, ancak bir bug nedeniyle kurumsal e-posta hesapları için de geçerli oldu
  • Makaledeki, saldırganın Microsoft’un iç altyapısı hakkında derin bir anlayışa sahip olduğu yönündeki değerlendirme
  • Kimlik bilgilerinin tespit edilip açıklanmadan önce 2 yıldan uzun süre tehlikeye atılmış olabileceği şüphesi nedeniyle ihlalin zaman çizelgesine dair endişe
  • Sahte token sayısı ve erişilen verilerin kapsamı açıklanmadığı için, ihlalin ciddiyetine dair soru işaretleri doğması
  • Makalenin, bu tür ihlalleri önlemek için anahtarların sık sık döndürülmesi gerektiğini vurgulaması
  • Anahtarın geri döndürülemez donanımda saklanmamış olması ve sıradan sunucu süreçleri tarafından kullanılabilir durumda bulunması, olası bir güvenlik kusuruna işaret ediyor
  • Anahtar materyalinin sızmasını önlemek için donanımsal güvenlik modüllerinin (HSM) kullanılmamasına yönelik eleştiri
  • Makalenin, Microsoft’un erişim token’ı doğrulama bölümünde düzenleyicinin tarihi veya iptal kontrolüne dair bir ifadeye yer verilmediğine dikkat çekmesi
  • İhlal sırasında iki faktörlü kimlik doğrulamanın veya diğer ek doğrulama yöntemlerinin atlatılıp atlatılmadığına dair belirsizlik
  • Makalenin, saldırı sırasında e-postaların dışa aktarıldığı bilinen bir döküm olup olmadığı sorusuyla sona ermesi