Σφάλματα και συμπτώσεις φαίνεται ότι επέτρεψαν στην κινεζική ομάδα hacking Storm-0558 να κλέψει ένα ιδιωτικό κλειδί MSA από τη Microsoft και να αποκτήσει πρόσβαση σε λογαριασμούς διαφόρων οργανισμών, αλλά και αμερικανικών κρατικών υπηρεσιών.
Αυτή την στιγμή δεν γνωρίζει κανείς την πλήρη έκταση της παραβίασης, καθώς το κλειδί MSA επέτρεπε στην hacking ομάδα πρόσβαση σε σχεδόν οποιονδήποτε λογαριασμό cloud στη Microsoft.
Η Microsoft δημοσίευσε τα αποτελέσματα της έρευνάς της για το συγκεκριμένο θέμα στο MSRC blog.
Η ανάλυση της εταιρείας όμως μοιάζει με κακογραμμένο σενάριο, καθώς παρουσιάζει μια αλυσίδα γεγονότων που επέτρεψε στην ομάδα hacking να αποκτήσει το κλειδί και να το χρησιμοποιήσει για πρόσβαση σε διαδικτυακούς λογαριασμούς.
Ας δούμε τι συνέβη σύμφωνα με τη Microsoft.
Ένα signing system καταναλωτών, σταμάτησε να λειτουργεί τον Απρίλιο του 2021. Αυτό είχε σαν αποτέλεσμα τη δημιουργία ενός crash dump (αρχείο που καταγράφει γιατί σταμάτησε να λειτουργεί η υπηρεσία). Αυτά τα crash dumps δεν θα πρέπει να περιλαμβάνουν ευαίσθητες πληροφορίες, όπως κλειδιά υπογραφών, αλλά στη συγκεκριμένη περίπτωση, το κλειδί υπογραφής ήταν παρόν στο crash dump.
Τα συστήματα ασφαλείας δεν εντόπισαν την παρουσία του κλειδιού. Όλα αυτά συνέβησαν σε ένα “ιδιαίτερα απομονωμένο και περιορισμένο περιβάλλον παραγωγής”, σύμφωνα με τη Microsoft. Τα στοιχεία ελέγχου των εργαζομένων περιλαμβάνουν ελέγχους ιστορικού, background checks, ελέγχους σε dedicated accounts, secure access workstations, αλλά και ελέγχους σε hardware token device-based multi-factor authentication. Το ίδιο το περιβάλλον δεν επιτρέπει τη χρήση email, διασκέψεων, διαδικτυακής έρευνας και άλλων εργαλείων συνεργασίας.
Εάν το crash dump παρέμενε σε ένα τέτοιο απομονωμένο περιβάλλον, οι hacker δεν θα μπορούσαν να το αποκτήσουν. Όμως αφού δεν υπήρχε κάποια ένδειξη σφαλμάτων και οι σαρώσεις δεν εντόπισαν την παρουσία του κλειδιού, μετακινήθηκε από το απομονωμένο περιβάλλον σε ένα “ανοιχτό” περιβάλλον εντοπισμού σφαλμάτων. Το τελευταίο είναι συνδεδεμένο στο Διαδίκτυο και στο εταιρικό δίκτυο της Microsoft.
Λίγο καιρό μετά τον Απρίλιο του 2021 και τη μεταφορά του crash dump στο περιβάλλον εντοπισμού σφαλμάτων, η hacking ομάδα Storm-0558 κατάφερε να παραβιάσει τον εταιρικό λογαριασμό ενός μηχανικού της Microsoft. Αυτός ο λογαριασμός είχε πρόσβαση στο περιβάλλον εντοπισμού σφαλμάτων που περιείχε το επίμαχο κλειδί.
Η Microsoft αναφέρει ότι δεν μπορεί να χρησιμοποιήσει log files για να επαληθεύσει την υπόθεσή της λόγω των “πολιτικών διατήρησης αρχείων καταγραφής” αλλά πιστεύει ότι η hacking ομάδα κατάφερε να κατεβάσει αυτό το dump και μετά ανακάλυψε την παρουσία του κλειδιού.
Αυτό επέτρεψε στους hackers να αποκτήσουν πρόσβαση σε Enterprise emails. Η Microsoft αναφέρει επίσης στην δημοσίευσή της ότι πολλές βιβλιοθήκες που χρησιμοποιούνται για την επικύρωση υπογραφών δεν ενημερώθηκαν, γεγονός που οδήγησε το σύστημα αλληλογραφίας να αποδεχτεί ένα αίτημα για Enterprise email χρησιμοποιώντας ένα διακριτικό κλειδιού καταναλωτή.
Η Microsoft ισχυρίζεται ότι έχει διορθώσει όλα τα προβλήματα και συγκεκριμένα, διόρθωσε τον εντοπισμό κλειδιών σε crash dumps, βελτίωσε τη σάρωση διαπιστευτηρίων σε περιβάλλοντα εντοπισμού σφαλμάτων και κυκλοφόρησε “βελτιωμένες βιβλιοθήκες”.
Κοιμηθείτε ήσυχοι….
Στις τράπεζες μαθαίνουν οι εργαζόμενοι ότι : ποτέ καμία τραπεζική απάτη δεν γίνεται με μόνο έναν υπάλληλο. Απαιτούνται τουλάχιστον δύο ή και περισσότεροι.
Στους πληροφορικάριους μαθαίνουν οι ασχολούμενοι ότι : ποτέ δεν γίνεται καμία ζημιά στα συστήματα ασφάλειας αν δεν βάλει το χέρι του κάποιος από μέσα. Είτε αφήνοντας κάποιο backdoor είτε βάζοντας ένα στικάκι που του έδωσαν ή που βρήκε, για να απολαύσει το περιεχόμενό του.