Microsoft anahtarlarını kaybetti ve hükümet saldırıya uğradı

Microsoft, Çin destekli bilgisayar korsanlarının, kendilerine ait olanlar da dahil olmak üzere düzinelerce e-posta gelen kutusuna gizlice girmelerine izin veren bir anahtarı nasıl çaldıklarını hala bilmiyor veya paylaşmak istemiyor. birkaç federal devlet kurumu.

İçinde bir blog yazısı Cuma günü Microsoft, bilgisayar korsanlarının gelen kutularına gerçek sahiplermiş gibi erişmelerine izin veren kimlik doğrulama belirteçlerini taklit etmek için kötüye kullanılan bir Microsoft imzalama anahtarını nasıl elde ettiklerinin “devam eden bir soruşturma” meselesi olduğunu söyledi. Raporlar, hedeflerin ABD Ticaret Bakanı Gina Raimondo, ABD Dışişleri Bakanlığı yetkilileri ve henüz kamuya açıklanmayan diğer kuruluşları içerdiğini söylüyor.

Microsoft, geçen Salı günü olayı açıkladı ve bir ay süren etkinliği, Çin ile güçlü bir bağı olduğuna inandığı Storm-0558 adını verdiği yeni keşfedilen bir casusluk grubuna bağladı. ABD siber güvenlik ajansı CISA, Mayıs ayı ortasında başlayan saldırıların şunları da içerdiğini söyledi: küçük bir numara hükümet hesaplarının tek haneli olduğu ve bilgisayar korsanlarının bazı sınıflandırılmamış e-posta verilerini sızdırdığı söylendi. ABD hükümeti bilgisayar korsanlıklarını alenen açıklamazken, Çin’in üst düzey dışişleri bakanlığı sözcüsü Çarşamba günü iddiaları yalanladı.

Çin’in daha önce bilinmeyen güvenlik açıklarını kullandığı yerler Microsoft tarafından desteklenen e-posta sunucularına ayrı ayrı saldırmak kurumsal verileri çalmak için, bu bilgisayar korsanlığı grubu bunun yerine Microsoft’un bulutundaki yeni ve açıklanmayan güvenlik açıklarını hedefleyerek doğrudan kaynağa gitti.

Microsoft blog yazısında, bilgisayar korsanlarının tüketici imzalama anahtarlarından birini veya şirketin Outlook.com’a erişim gibi tüketici e-posta hesaplarını güvence altına almak için kullandığı MSA anahtarını ele geçirdiğini söyledi. Microsoft, başlangıçta bilgisayar korsanlarının kurumsal ve kurumsal e-posta hesaplarının güvenliğini sağlamak için kullanılan, edinilmiş bir kurumsal imzalama anahtarını kullanarak kimlik doğrulama belirteçleri oluşturduğunu düşündüklerini söyledi. Ancak Microsoft, bilgisayar korsanlarının bu tüketici MSA anahtarını, kurumsal gelen kutularına girmelerine izin veren belirteçleri taklit etmek için kullandıklarını tespit etti. Microsoft, bunun “Microsoft kodundaki bir doğrulama hatası” nedeniyle olduğunu söyledi.

Microsoft, bu olayla ilgili “tüm aktör faaliyetlerini” engellediğini belirterek, olayın sona erdiğini ve bilgisayar korsanlarının erişimi kaybettiğini öne sürdü. Microsoft’un kendi anahtarlarının kontrolünü nasıl kaybettiği belli olmasa da şirket, muhtemelen bilgisayar korsanlarının başka bir dijital iskelet anahtarı çalkalamasını önlemek için anahtar verme sistemlerini güçlendirdiğini söyledi.

Bilgisayar korsanları önemli bir hata yaptı. Microsoft, birkaç gelen kutusuna baskın yapmak için aynı anahtarı kullanarak, araştırmacıların “hem kurumsal hem de tüketici sistemlerimizde bu modeli izleyen tüm aktör erişim isteklerini görmelerine” izin verdiğini söyledi. Microsoft, kimin güvenliğinin ihlal edildiğini biliyor ve etkilenenleri bilgilendirdiğini söyledi.

Acil tehdidin sona erdiği düşünülürken Microsoft, o zamandan beri sınıflandırılmamış hükümet verilerinin en büyük ihlali olduğu düşünülen olayı nasıl ele aldığı konusunda incelemeye tabi tutuluyor. SolarWinds’i hackleyen Rus casusluk kampanyası 2020’de

tarafından belirtildiği gibi Ars Technica’dan Dan Goodin, Microsoft, blog gönderisinde hasar kontrolü yapmak için büyük çaba sarf etti ve bir yazılım üreticisinin zaten istismar edilmiş bir güvenlik açığını düzeltmek için sıfır gün bildirimi olduğu durumlara atıfta bulunan “sıfır gün” gibi terimlerden kaçındı. Hata veya istismarı herkesin sıfır gün tanımına uysun ya da uymasın, Microsoft bunu böyle tanımlamaktan, hatta güvenlik açığı olarak adlandırmaktan kaçınmak için elinden geleni yaptı.

Anahtar sızıntısını ve kötüye kullanımını birleştiren şey, devlet dairelerinin kendilerinin izinsiz girişlerine yönelik görünürlük eksikliğiydi. Microsoft ayrıca, diğer olay müdahale ekiplerinin kötü niyetli etkinliği belirlemesine yardımcı olabilecek şirketin en üst düzey paketiyle devlet hesapları için güvenlik günlükleri ayırmak için çaba harcıyor.

CNN ilk bildirilen Dışişleri Bakanlığı’nın ihlali başlangıçta tespit ettiğini ve Microsoft’a bildirdiğini. Ancak her devlet dairesi, daha yüksek ücretli katman Microsoft hesaplarına sahip departmanlar için mevcut olan ancak diğerleri için mevcut olmayan aynı düzeyde güvenlik günlüğüne sahip değildi. Wall Street Journal. Bir CISA yetkilisi, geçen hafta gazetecilerle yapılan bir görüşmede kayıt yapılmamasını eleştirdi. Microsoft, Journal’a “geri bildirimleri değerlendirdiğini” söyledi.

Microsoft’un Cuma günkü genişletilmiş açıklaması, olay müdahale ekiplerinin ağlarının hedeflenip hedeflenmediğini kontrol edebilecekleri daha fazla teknik ayrıntı ve uzlaşma göstergelerinin bir parıltısını sundu, teknoloji devinin hala yanıtlaması gereken soruları var. Microsoft’un yanıtları hazır olsun ya da olmasın, teknoloji devinin yakın zamanda sallayabileceği bir soruşturma olması pek olası değil.