Çinli Hackerlar, Microsoft Mühendisi Hesabını Ele Geçirip Devlet E-posta Hesaplarına Sızdı

Microsoft, Çinli hackerların, bir Microsoft mühendisinin kurumsal hesabını ele geçirdikten sonra bir Windows çökme dökümünden çalınan bir imza anahtarını çaldığını söylüyor. Bu anahtar, hükümet e-posta hesaplarına sızmak için kullanılmıştır.

Saldırganlar, çalınan MSA anahtarını kullanarak, ABD’deki U.S. State ve Commerce Departments gibi hükümet kurumları da dahil olmak üzere yaklaşık iki düzine organizasyonun Exchange Online ve Azure Active Directory (AD) hesaplarına sızdılar.

Hedeflenen organizasyonlarda imzalı erişim belgeleri üretebilmelerini sağlayan GetAccessTokenForResourceAPI’deki şimdi yaması yapılmış bir doğrulama sorununu kullanarak hesapları taklit etme yetkisine sahiptiler.

Windows çökme dökümü incelemesi sırasında Microsoft, MSA anahtarının Nisan 2021’de bir tüketici imzalama sistemi çöktükten sonra bir döküme sızdığını buldu.

Çökme dökümünün imza anahtarlarını içermemesi gerektiği halde, bir yarış koşulu anahtarın eklenmesine yol açtı. Bu çökme dökümü daha sonra şirketin izole üretim ağından internete bağlı kurumsal hata ayıklama ortamına taşındı.

Tehtit aktörleri, Nisan 2021 çökme dökümünde yanlışlıkla eklenen anahtarı içeren hata ayıklama ortamına erişimi olan bir Microsoft mühendisinin kurumsal hesabını başarılı bir şekilde ele geçirdikten sonra anahtarı buldular.

“Log saklama politikaları nedeniyle, bu aktör tarafından bu anahtarın nasıl ele geçirildiğine dair özel kanıtlara sahip değiliz, ancak bu, aktörün anahtarı nasıl elde ettiğine dair en olası mekanizma idi,” Microsoft bugün açıkladı.

“Kimlik tarama yöntemlerimiz bu varlığın varlığını tespit etmedi (bu sorun düzeltilmiştir).”

Microsoft, olayı Temmuz’da açıkladığında sadece Exchange Online ve Outlook’un etkilendiğini söylemiş olsa da, Wiz güvenlik araştırmacısı Shir Tamari daha sonra komprome edilmiş Microsoft tüketici imza anahtarının Storm-0558’e Microsoft bulut hizmetlerine geniş erişim sağladığını belirtti.

Tamari’nin dediği gibi, bu anahtar herhangi bir etkilenen müşteri veya bulut tabanlı Microsoft uygulaması içinde herhangi bir hesabı taklit etmek için kullanılabilirdi.

READ  Microsoft, Outlook için kapalı pencereleri yeniden açma isteğini düzeltmeye ilişkin bilgi paylaşıyor.

“Bu, Outlook, SharePoint, OneDrive ve Teams gibi yönetilen Microsoft uygulamalarını ve ‘Microsoft ile Giriş Yap’ işlevini destekleyen müşteri uygulamalarını içeren Microsoft dünyasındaki her şey Azure Active Directory kimlik belirleme belirteçlerini erişim için kullanır,” dedi.

“AAZ imza anahtarına sahip bir saldırgan, hemen hemen her kullanıcı gibi neredeyse her uygulamaya erişebilecek en güçlü saldırgandır. Bu, neredeyse her uygulamaya erişebilme yeteneği sunan en üstün siber istihbarat ‘şekil değiştiren’ süper güçtür.”

Redmond daha sonra, komprome edilmiş anahtarın sadece kişisel hesapları kabul eden ve Çinli hackerlar tarafından sömürülen doğrulama hatası olan uygulamaları hedeflemek için kullanılabileceğini söyledi.

Güvenlik ihlaline yanıt olarak, Microsoft, tehdit aktörlerinin diğer komprome edilmiş anahtarlarına erişmesini engellemek için tüm geçerli MSA imza anahtarlarını iptal etti. Bu adım ayrıca yeni erişim belgesi üretme çabalarını engelledi. Ayrıca, Microsoft son zamanlarda oluşturulan erişim belgelerini, kurumsal sistemlerinde kullandığı anahtar deposuna taşıdı.

Çalınan imza anahtarını iptal ettikten sonra Microsoft, aynı kimlik doğrulama belgesi taklit tekniğini kullanan müşteri hesaplarına yetkisiz erişim hakkında başka bir kanıt bulamadı.

CISA tarafından baskı altında olan Microsoft, gelecekte benzer ihlal girişimlerini tespit etmeye yardımcı olmak için bulut günlükleme verilerine ücretsiz erişimi genişletmeyi kabul etti.

Daha önce böyle bir günlükleme yeteneği sadece Purview Audit (Premium) günlükleme lisansına sahip müşterilere sunuluyordu. Bu nedenle Redmond, Storm-0558’in saldırılarını hızla tespit etmelerini engellediği için önemli eleştirilere maruz kaldı.

kaynak: BleepingComputer

Yorum yapın