عثرت Microsoft على أداة تفريغ الأعطال Storm-0558 المستغلة لسرقة مفتاح التوقيع
نشرت Microsoft تفاصيل حول كيفية تمكن ممثل التهديد المستمر المتقدم (APT) الصيني المدعوم من الدولة والذي تم تتبعه باسم Storm-0558 من وضع يديه على مفتاح عميل حساب Microsoft (MSA) لتزوير الرموز المميزة التي تمكنوا من خلالها من الوصول إلى OWA وOutlook.com. حسابات في العديد من العملاء البارزين.
الحادث، والذي تم الكشف عنه لأول مرة يوم الثلاثاء 11 يوليو، بدأت في أبريل، ومكّنت Storm-0558 من الوصول إلى بيانات حساب البريد الإلكتروني عبر مؤسسات متعددة، بما في ذلك الوكالات والإدارات الحكومية الأمريكية، اعتبارًا من منتصف مايو. واستغرق الأمر شهرًا آخر حتى يتم اكتشاف الاختراقات والتعامل معها.
وقد واجهت مايكروسوفت منذ ذلك الحين انتقادات لردها على الحادث، بما في ذلك اتهامات بالإهمال من المسؤولين الحكوميين.
وقد انتهى الآن تحقيق ريدموند في الحادثوالتي اكتشفت من خلالها مايكروسوفت أن Storm-0558 تمكن من الاستفادة من التقاء نادر للأحداث لبدء حملتها من الهجمات السيبرانية. وقد اتخذت الإجراءات اللازمة لمنع ظهور هذا الوضع مرة أخرى.
“تقوم Microsoft باستمرار بتعزيز الأنظمة كجزء من إستراتيجيتنا الدفاعية المتعمقة. يتم تغطية الاستثمارات التي تم إجراؤها فيما يتعلق بالإدارة الرئيسية لـ MSA في https://aka.ms/storm-0558 مدونة. قال فريق أمان MSRC التابع للشركة: “العناصر المفصلة في هذه المدونة هي مجموعة فرعية من هذه الاستثمارات الإجمالية”.
نظرًا للطبيعة الحساسة للغاية لبيانات عملائها، تحتفظ Microsoft ببيئات إنتاج شديدة التحكم ومعزولة ومقيدة تم تصميمها لمنع مغادرة المواد الأساسية.
ومع ذلك، في أبريل، أدى تعطل نظام توقيع المستهلك إلى لقطة للعملية المتعطلة – يُعرف هذا باسم تفريغ الأعطال، وهو نوع من تفريغ الذاكرة. تعمل عمليات تفريغ الأعطال هذه على تنقيح المعلومات الحساسة ولا ينبغي أن يتضمن هذا الملف مفتاح التوقيع، ومع ذلك، في هذه الحالة، تم تضمين مفتاح التوقيع بسبب حالة السباق – مشكلة تحدث عندما تحاول عمليتان أو خيطان في البرنامج الوصول إلى نفس المورد في نفس الوقت، مما يسبب مشاكل في النظام. ولم تكتشف أنظمة ميكروسوفت هذا الأمر في ذلك الوقت، وهو أمر قامت بمعالجته منذ ذلك الحين.
نظرًا لأن Microsoft لم تعتقد أن ملف تفريغ الأعطال يحتوي على مواد حساسة، فقد تم نقله من شبكة الإنتاج المعزولة إلى بيئة تصحيح الأخطاء الخاصة بها، والتي توجد على شبكة الشركة الرئيسية المتصلة بالإنترنت، بما يتوافق مع عمليات تصحيح الأخطاء القياسية الخاصة بشركة Microsoft. ولم يتم اكتشاف وجود المفتاح حتى هذه المرحلة.
في مرحلة ما بعد ذلك، اكتشفت Microsoft أن Storm-0558 نجح في اختراق حساب شركة ينتمي إلى مهندس Microsoft لديه إمكانية الوصول إلى بيئة تصحيح الأخطاء. لسوء الحظ، تعني سياسات الاحتفاظ بالسجل الخاصة بشركة Microsoft أنه لا يوجد دليل مباشر على أن Storm-0558 قام بسحب مفتاح التوقيع من بيئة تصحيح الأخطاء في هذه المرحلة، ولكن هذه هي الآلية الأكثر احتمالاً إلى حد ما.
لقد أصبح الوضع السيئ بالفعل أسوأ بالنسبة لشركة Microsoft وعملائها الحكوميين، لأنه لتلبية الطلب المتزايد على دعم التطبيقات التي تعمل مع كل من تطبيقات المستهلكين وتطبيقات المؤسسات، كان لدى Microsoft نقطة نهاية مشتركة لنشر بيانات التعريف الرئيسية على مدار السنوات الخمس الماضية.
عند إعداد هذا العرض المتقارب، قالت Microsoft إنها قامت بتحديث الوثائق لتوضيح متطلبات التحقق من صحة النطاق الرئيسي – أي المفتاح الذي يجب استخدامه لحسابات المستهلكين وأي مفتاح يجب استخدامه لحسابات المؤسسات. كما قدمت أيضًا واجهة برمجة التطبيقات (API) عبر مكتبة الوثائق الخاصة بها وواجهات برمجة التطبيقات المساعدة للمساعدة في التحقق من صحة التوقيعات تشفيرًا، ولكن الأهم من ذلك، أنها لم تقم بتحديث هذه المكتبات لإجراء التحقق من النطاق تلقائيًا، وهو شيء آخر انتقلت الآن لتصحيحه.
عندما تم تحديث أنظمة البريد الخاصة بها لاستخدام نقطة نهاية البيانات الوصفية المشتركة في عام 2022، افترض المطورون بشكل غير صحيح أن هذه المكتبات قامت بإجراء التحقق الكامل من صحة مفتاح التوقيع، وعلى هذا النحو، لم تضيف التحقق من صحة المُصدر/النطاق المطلوب، مما أدى إلى مجموعة من الظروف التي بموجبها البريد يمكن للنظام أن يقبل بسعادة طلبًا للبريد الإلكتروني للمؤسسة باستخدام رمز أمان موقّع بمفتاح المستهلك.
وقال جيك مور، مستشار الأمن السيبراني العالمي في شركة “لا تحتوي عادةً مستودعات الأعطال على مفاتيح التوقيع، لكن هذا لم يكن الحادث الوحيد الذي أدى إلى الخطأ الفادح”. إسيت.
وأضاف: “كما هو الحال مع الغالبية العظمى من الهجمات، تمكنت الجهات الفاعلة في مجال التهديد من اختراق حساب شركة “الوصول إلى جميع المناطق” الخاص بالمهندس والذي بدأ الهجوم بنجاح، لذلك من الضروري أن تظل هذه الحسابات في حالة تأهب قصوى ويقظة لهجمات التصيد الاحتيالي”. .
“ثم يحاكي هذا المفتاح بقوة أي حساب مستخدم أو تطبيق يرغبون فيه. كان الحصول على المفتاح من ملف تفريغ الأعطال السابق والذي مكّن من اختراق خدمات Microsoft السحابية أمرًا ممكنًا نظرًا لأن مسح بيانات الاعتماد لم يتم حسابه مسبقًا.
نطاق التسلل ربما أوسع؟
وفي الوقت نفسه، اقترح خبراء أمنيون أن نطاق اختراق Storm-0558 من المحتمل أن يكون أوسع بكثير مما ذكر في البداية.
كما أفادت الكمبيوتر النائم في أواخر شهر يوليو، شير تماري، الباحث في ويز، المعلومات المنشورة مما يشير إلى أن مفتاح التوقيع المخترق كان أقوى بكثير مما كان يعتقد في البداية، وكان من الممكن أيضًا أن يتيح لممثلي التهديد الوصول إلى العديد من تطبيقات Azure Active Directory، بما في ذلك جميع التطبيقات التي تدعم مصادقة الحساب الشخصي.
في الواقع، هذا يعني أن التطبيقات المستخدمة على نطاق واسع مثل OneDrive وSharePoint وTeams قد تكون معرضة للخطر أيضًا.
ولم يتناول تحقيق مايكروسوفت هذه النقطة.