مایکروسافت می گوید هکرهای چینی از یک کلید امضای دزدیده شده از یک خرابی ویندوز برای نفوذ به حسابهای دولتی آمریکا استفاده کرده اند.
به گزارش تکناک، به دنبال نفوذ گروه هکری چینی Storm-0558 به حسابهای ایمیل مایکروسافت متعلق به دو دستگاه دولتی ، یک هیئت مشاوره امنیت سایبری در ایالات متحده که توسط دولت جو بایدن تشکیل شده بود، یک تحقیق را آغاز کرد. هدف این هیئت بررسی دخالت مایکروسافت در این موضوع است و احتمال وجود جنبههای دیگری در این داستان و عدم شفافیت شرکت درباره آن وجود دارد.
اگرچه مایکروسافت توانست مشکل را کاهش دهد، اما توضیحات مفصلی درباره نحوه رخ دادن حادثه و نحوه دستیابی مهاجمان به اطلاعات اعتباری فراهم نکرد.
طبق گزارشی جدید از BleepingComputer، مایکروسافت اعلام کرده است که گروه Storm-0558 پس از نفوذ به حساب شرکتی یک مهندس مایکروسافت، توانست با دزدیدن یک کلید امضایی از یک دامپ خرابی ویندوز، به اطلاعات اعتباری مقامها دسترسی یابد.
هکرها از این کلید برای نفوذ به حسابهای Exchange Online و Azure Active Directory تعدادی از سازمانها استفاده کردند. سازمانهای دولتی مستقر در ایالات متحده، از جمله وزارت امور خارجه و وزارت بازرگانی ایالات متحده، از جمله نهادهایی بودند که تحت تأثیر این نفوذ قرار گرفتند. این امر باعث برانگیختن تعجب فراوانی شد، از جمله تعجب سناتور ران وایدن که در تاریخ ۲۷ ژوئیه نامه ای نوشت و درخواست کرد هیئت مرور امنیت سایبری این موضوع را تحقیق کند.
مایکروسافت در این رابطه گفت: ما متوجه شدیم که این دامپ خرابی که در آن زمان فکر میشد شامل مواد کلیدی نباشد، پس از شبکه تولید مجزا به محیط اشکالزدایی ما در شبکه شرکتی متصل به اینترنت منتقل شده است. این با روند استاندارد ما در اشکالزدایی سازگار است. روشهای اسکن اعتبار ما حضور آن را تشخیص ندادند (این مشکل تصحیح شده است).
مایکروسافت در ادامه توضیح داد که گروه هکر چینی از یک مشکل اعتبارسنجی روز صفر در GetAccessTokenForResourceAPI استفاده کرد که پس از آن کاهش یافته است تا توکنهای دسترسی امضا شده را تقلبی بسازد، به این ترتیب به آنها اجازه می دهد تا هویت حساب های مقامات را جعل کنند.
همچنین، شرکت مایکروسافت توضیح داد که کلید MSA (Microsoft Account) استفاده شده برای نفوذ به حسابهای مقامات مربوط به آوریل 2021 بوده است، زمانی که در اثر خرابی سیستم امضای یک کاربر عادی، در یک دامپ خرابی منتشر شد.
به گفته مایکروسافت:به دلیل سیاستهای حفظ گزارش، ما گزارشهایی با شواهد خاصی از این خروج اطلاعات توسط این عامل نداریم، اما این احتمالاً مکانیزمی بود که عامل با آن کلید را به دست آورده است.
شرکت افزود که در حالی که دامپ خرابی نباید شامل کلیدهای امضاکننده باشد، یک شرایط رقابتی باعث اضافه شدن آن شده است. به طور قابل توجه، دامپ خرابی از شبکه تولید شرکت به محیط اشکالزدایی شرکت متصل به اینترنت منتقل شد. با این حال، مایکروسافت اعلام کرده است که مشکل برطرف شده است و اعلام کرده است که روشهای اسکن اعتبار آن هیچ حضوری از حمله کنندگان را تشخیص ندادهاند.
شدت نقض چقدر بود؟
به گفته شیر تماری، یک پژوهشگر امنیت در شرکت Wiz، نفوذ هکرهای چینی به جای خود Exchange Online و Outlook، به سرویسهای ابری مایکروسافت نیز گسترش یافت. این پژوهشگر اشاره کرد که این نفوذ به مهاجمان امکان دسترسی به خدمات ابری مایکروسافت را فراهم کرده است.
دسترسی گسترده به این خدمات به این معنی است که مهاجمان میتوانند از این کلید برای جعل هویت در تقریباً تمام پلتفرمهای مبتنی بر ابر مایکروسافت استفاده کنند، از جمله Outlook، SharePoint، OneDrive و Teams. بدون اینکه برنامههایی که احراز هویت حساب مایکروسافت را پشتیبانی میکنند را فراموش کنیم.
با این حال، مایکروسافت ادعاها را که کلید فقط در برنامههایی قابل استفاده است که حسابهای شخصی را قبول میکنند، رد کرده است. این امر منجر به لغو تمام کلیدهای امضایی MSA معتبر شده است تا تلاشهای مهاجمان برای دسترسی به کلیدهای تخریب شده بیشتر ضعیف شود. به همین ترتیب، این اقدام منجر به مسدود شدن تولید توکنهای دسترسی جدید نیز شده است. در نهایت، شرکت توکنهای دسترسی اخیراً تولید شده را به فضای ذخیرهسازی کلیدی انتقال داده است که در سیستمهای شرکتی آن استفاده میشود.
آمی لاتواک، مدیر عامل فنی و بنیانگذار شرکت Wiz، در گفتوگو با BleepingComputer، دیدگاههای زیر را به اشتراک گذاشت:
تمامی موارد در دنیای مایکروسافت بر اساس توکنهای احراز هویت Azure Active Directory برای دسترسی استفاده میکند. یک حملهکننده با یک کلید امضای AAD، قدرتمندترین حملهکنندهای است که میتوانید تصور کنید، زیرا او میتواند تقریباً به هر برنامهای دسترسی پیدا کند. این قدرت، قدرت فوقالعادهای در حوزه اطلاعات سایبری است که امکان تغییر شکل و تبدیل شدن به هر شکلی را به او میدهد.
امیت یوران، مدیرعامل شرکت Tenable، در بسیاری از مواقع به مایکروسافت انتقاد کرده و کمبود شفافیت آن درباره نقضهای امنیتی و روشهای امنیتی را برجسته کرده است.