Китайски хакери получили „ключа за кралството“ на Microsoft
По-рано този месец Microsoft разгласиха информация за серия от офанзиви, извършени от китайска хакерска APT (advanced persistent threat) група, известна като Storm-0558. В упоменатите офанзиви, те съумели да доближат до електронните пощи и Exchange Online и Outlook сметките на стеснен брой компании и държавни организации, сред които тези на Държавния департамент на Съединени американски щати, американското комерсиално министерство и неназован брой организации в Европа. В репортажа на компанията се отбелязва, че хакерите съумели да компрометират сметки на Exchange Online и Azure Active Directory (AАD) услугата. Но съгласно отчет на компанията за сигурност и разбор Wiz, Storm-0558 са разполагали с нещо доста повече от това, което настояват Microsoft.
Групата употребява неактивни ключове за автограф за удостоверителни токени за услугата мултифакторно засвидетелствуване Azure Active Directory (AAD). Според Wiz, притежанието им на въпросния ключ е можел да подправят автентикационни токени за необятен кръг от стратегии, разчитащи на Azure, като SharePoint, Teams, OneDrive, както и всяко потребителско приложение, позволяващо вход посредством Login wit Microsoft функционалността.
„ Microsoft декларират, че единствените наранени приложения в тази ситуация посредством техниката за подправяне са Outlook.com и Exchange Online, само че Wiz Research откриха, че компрометирания ключ за сключване има надалеч по-големи благоприятни условия, в сравнение с е представяно и не е стеснен до тези две услуги. Пълният обсег на този случай е надалеч по-обширен, в сравнение с ние смятахме “, пишат в отчета си от компанията.
Recorded Future цитират отчета на Wiz, в който те пишат, че случая евентуално ще има нескончаем резултат над доверието на експертите към облака и основни съставни елементи за действието му – най-много този, който дава отговор за удостоверяването на идентичността, който се явява „ базисната тъкан на всичко, което вършим в облака “. Според тях, ключът, който хакерите са откраднали на доктрина е можело да се употребява да се удостоверят като всеки един консуматор към всяко едно приложение, което се доверява на документите на Microsoft. И въпреки Microsoft да изтеглиха от обращение въпросния ключ, то Wiz считат, че групата може да употребила към този момент получените от нея привилегии за установяването на трайно наличие в мрежите на жертвите си.
Инцидентът към момента се проверява и няма изясненост по какъв начин и по кое време е била осъществена кражбата на ключа и има ли и други компрометирани ключове. Wiz пишат, че към сегашния миг е мъчно да се откри цялостния мащаб на случая, защото евентуално уязвимите приложения са милиони – както тези на Microsoft, по този начин и потребителските, като доста от тях не могат да предложат задоволително информация от логовете си дали са били компрометирани или не. В отговор на питане на Reckorded Future във връзка с обстановката, Microsoft разясняват, че потребителите би трябвало да се обръщат за информация за протичащото се към изявленията на компанията по отношение на протичащото се и да се концентрират над предоставените от тях знаци на компрометиране. „ Много от изказванията, направени в този блог (доклада на Wiz) са спекулативни и не се базират на доказателства “, гласи формалната позиция на компанията.
От Wiz разясняват на собствен ред за Recorded Future, че са сюрпризирани от реакцията на Microsoft в тази ситуация, тъй като обявата е била към този момент прегледана и валидирана от страна на Центъра за реакция на произшествия към Microsoft. „ Ние си сътрудничихме с тях върху обявата и те ни помогнаха за по-голямата техническа акуратност на написаното “, твърди представител на Wiz.
