Οι hacker που εισέβαλαν πρόσφατα στο δίκτυο της Microsoft και παρακολουθούσαν τα email κορυφαίων στελεχών για δύο μήνες το έκαναν αποκτώντας πρόσβαση σε έναν παλιό λογαριασμό δοκιμών που είχε όμως δικαιώματα διαχειριστή, μια μεγάλη γκάφα από την πλευρά της εταιρείας, σύμφωνα με ένα ερευνητή ασφαλείας.
Όπως είχαμε αναφέρει, το δίκτυο της Microsoft παραβιάστηκε μέσω password-spraying από hackers της Ρωσίας
Η νέα λεπτομέρεια δόθηκε κάπως αόριστα διατυπωμένη σε μια δημοσίευση της Microsoft την Πέμπτη, που επεκτάθηκε σε μια αποκάλυψη που δημοσίευσε η Microsoft αργά την περασμένη Παρασκευή. Οι Ρώσοι hackers, σύμφωνα με την Microsoft, χρησιμοποίησαν μια τεχνική γνωστή σαν password-spraying για να εκμεταλλευτούν ένα αδύναμο διαπιστευτήριο σε έναν “παλαιό λογαριασμό δοκιμών μη παραγωγής” που δεν προστατευόταν από έλεγχο ταυτότητας πολλαπλών παραγόντων.
Από εκεί, οι hackers κατά κάποιο τρόπο απέκτησαν τη δυνατότητα πρόσβασης σε λογαριασμούς email που ανήκαν σε ανώτερα στελέχη και υπαλλήλους που εργάζονταν σε ομάδες ασφαλείας.
Στην δημοσίευση της Πέμπτης για την ενημέρωση των πελατών σχετικά με τα ευρήματα από την εν εξελίξει έρευνά της, η Microsoft έδωσε περισσότερες λεπτομέρειες για τον τρόπο που χρησιμοποίησαν οι hackers για να αποκτήσουν πρόσβαση.
Μια ομάδα που παρακολουθεί η Microsoft ως Midnight Blizzard, απέκτησε πρόσβαση σε προνομιούχους λογαριασμούς email κάνοντας κατάχρηση του πρωτοκόλλου εξουσιοδότησης OAuth, το οποίο χρησιμοποιείται για να επιτρέπει σε μια σειρά εφαρμογών να έχουν πρόσβαση σε ένα δίκτυο. Αφού παραβίασε τον δοκιμαστικό λογαριασμό, η Midnight Blizzard τον χρησιμοποίησε για να δημιουργήσει μια κακόβουλη εφαρμογή και να της δώσει δικαιώματα πρόσβασης σε κάθε διεύθυνση email στην υπηρεσία email της Microsoft Office 365.
Στην ενημέρωση της Πέμπτης, οι αξιωματούχοι της Microsoft είπαν πολλά, αλλά με τρόπο που απέκρυπτε σε μεγάλο βαθμό την έκταση της μεγάλης γκάφας:
Παράγοντες απειλών όπως η Midnight Blizzard παραβιάζουν λογαριασμούς χρηστών για να δημιουργήσουν, να τροποποιήσουν και να εκχωρήσουν υψηλά δικαιώματα σε εφαρμογές OAuth που μπορούν να χρησιμοποιήσουν καταχρηστικά για να αποκρύψουν κακόβουλες δραστηριότητες. Η κακή χρήση του OAuth επιτρέπει επίσης στους hackers να διατηρήσουν την πρόσβαση σε εφαρμογές, ακόμη και αν χάσουν την πρόσβαση στον αρχικά παραβιασμένο λογαριασμό. Η Midnight Blizzard χρησιμοποίησε την αρχική τους πρόσβαση για να εντοπίσει και να αποκτήσει πρόσβαση σε μια δοκιμαστική εφαρμογή παλαιού τύπου OAuth που είχε αυξημένη πρόσβαση στο εταιρικό περιβάλλον της Microsoft. Οι hackers δημιούργησαν πρόσθετες κακόβουλες εφαρμογές OAuth. Δημιούργησαν ένα νέο λογαριασμό χρήστη για τη χορήγηση συναίνεσης στο εταιρικό περιβάλλον της Microsoft σε κακόβουλες εφαρμογές OAuth που ελέγχονταν από τους ίδιους. Στη συνέχεια, χρησιμοποίησαν την δοκιμαστική εφαρμογή παλαιού τύπου OAuth για να εκχωρήσουν full_access_as_app στο Office 365 Exchange Online, που επιτρέπει την πρόσβαση σε inbox.
Ο Kevin Beaumont, ερευνητής και επαγγελματίας ασφαλείας με δεκαετίες εμπειρίας, ανέφερε στο Mastodon ότι ο μόνος τρόπος για έναν λογαριασμό να εκχωρήσει τον πανίσχυρο ρόλο full_access_as_app σε μια εφαρμογή OAuth είναι ο λογαριασμός να έχει προνόμια διαχειριστή. “Κάποιος”, είπε, “έκανε ένα αρκετά μεγάλο σφάλμα διαμόρφωσης”.