لقد تعلمت Microsoft درسًا مهمًا بعد الاضطرار إلى تنظيف تسرب كبير للبيانات ناتج عن توقيع الوصول المشترك (SAS) “المفرط في التساهل” رمز مميز تم الكشف عنها عن طريق الخطأ من قبل أحد موظفيها.
وقع الحادث في يونيو 2023، عندما شارك أحد باحثي Microsoft عنوان URL لمتجر Azure Blob في مستودع GitHub العام أثناء المساهمة في نموذج تعلم الذكاء الاصطناعي مفتوح المصدر (AI).
ومع ذلك، يتضمن عنوان URL رمز SAS المميز لحساب تخزين داخلي، والذي عثر عليه المحللون على متخصصون في الأمن السحابي Wiz.io.
باستخدام الرمز المميز، تمكنوا من الوصول إلى حساب التخزين، حيث يمكنهم، بفضل الامتيازات المفرطة للرمز المميز المخترق، العثور على أكثر بكثير من مجرد البيانات مفتوحة المصدر.
وتبين أنه تم تكوين الرمز المميز لمنح الأذونات عبر حساب التخزين بالكامل، والذي يحتوي أيضًا على 38 تيرابايت من البيانات، بما في ذلك النسخ الاحتياطية لمحطات عمل موظفي Microsoft التي تحتوي على معلومات شخصية حساسة وبيانات الاعتماد والمفاتيح السرية و30000 رسالة Teams داخلية.
لقد عمل فريق Wiz وMicrosoft معًا لمنع تفاقم المشكلة بشكل أكبر، وقد فعلوا ذلك الآن المعلومات المنشورة بشكل مشترك حول الحادث في تقرير منسق للكشف عن الثغرات الأمنية (CVD).
قال فريق مركز الاستجابة الأمنية لـ Microsoft (MSRC) إن نطاق الاختراق كان محدودًا لحسن الحظ. وقالوا: “لم يتم الكشف عن أي بيانات للعملاء، ولم تتعرض أي خدمات داخلية أخرى للخطر بسبب هذه المشكلة”. “لا يلزم اتخاذ أي إجراء من جانب العميل ردًا على هذه المشكلة. نحن نشارك… الدروس المستفادة وأفضل الممارسات… لإعلام عملائنا ومساعدتهم على تجنب حوادث مماثلة في المستقبل.”
المشكلة مع الرموز SAS
كما أوضح هيلاي بن ساسون وروني جرينبيرج من Wiz.io، فإن رموز SAS تمثل مشكلة إلى حد ما. لقد تم تصميمها لتقييد الوصول والسماح لبعض العملاء بالاتصال بمورد تخزين Azure محدد، ولكنها تحتوي على نقاط عدم أمان متأصلة مما يعني أنه يجب إدارتها بعناية، وهو ما لم يكن الحال في هذه الحالة.
من بين أمور أخرى، يمكن للمستخدم تخصيص مستويات الوصول الخاصة بهم بسهولة ويسر، كما هو الحال مع وقت انتهاء الصلاحية، والذي قد يسمح نظريًا بإنشاء رمز مميز لا تنتهي صلاحيته أبدًا (كان الرمز المخترق صالحًا في الواقع حتى عام 2051، أي 28 عامًا). من الان).
بالإضافة إلى ذلك، نظرًا لقوة المستخدمين الذين يمتلكون أكثر من رموز SAS المميزة، قد يكون من الصعب جدًا على المسؤولين معرفة وجود رمز مميز متساهل للغاية والذي لن تنتهي صلاحيته أبدًا قيد التداول، وليس من السهل إلغاء الرمز المميز أيضًا – للقيام بذلك، يحتاج المسؤول لتدوير مفتاح الحساب الذي وقع الرمز المميز، مما يجعل أي رموز مميزة أخرى موقعة بنفس المفتاح عديمة الفائدة.
قال بن ساسون وغرينبرغ إن كل هذا، بالإضافة إلى خطر التعرض العرضي كما حدث هنا، يجعل رموز SAS “أداة فعالة للمهاجمين الذين يسعون إلى الحفاظ على الثبات في حسابات التخزين المعرضة للخطر”.
“نظرًا للافتقار إلى الأمان والحوكمة فيما يتعلق برموز SAS الخاصة بالحساب، يجب اعتبارها حساسة مثل مفتاح الحساب نفسه. لذلك، يوصى بشدة بتجنب استخدام حساب SAS للمشاركة الخارجية. يمكن أن تمر أخطاء إنشاء الرمز المميز بسهولة دون أن يلاحظها أحد وتكشف البيانات الحساسة.
“حديثا تقرير مايكروسوفت يشير هذا إلى أن المهاجمين يستغلون افتقار الخدمة إلى قدرات المراقبة من أجل إصدار رموز SAS المميزة كباب خلفي. “نظرًا لعدم توثيق إصدار الرمز المميز في أي مكان، فلا توجد طريقة لمعرفة أنه تم إصداره والتصرف ضده.”
أندرو والي، المدير الفني الأول في برومونوقال إن الحادث أظهر أنه حتى المشاريع ذات النوايا الحسنة يمكن أن تفشل عن غير قصد.
وقال: “إن توقيعات الوصول المشتركة تشكل خطراً كبيراً على الأمن السيبراني إذا لم تتم إدارتها بأقصى قدر من العناية”. “على الرغم من أنها بلا شك أداة قيمة للتعاون ومشاركة البيانات، إلا أنها يمكن أن تصبح أيضًا سلاحًا ذا حدين عند تكوينها بشكل خاطئ أو سوء التعامل معها. عندما يتم إصدار رموز SAS المميزة بشكل مفرط أو عندما يتم كشفها عن غير قصد، فإن الأمر يشبه تسليم مفاتيح الباب الأمامي الخاص بك إلى لص عن طيب خاطر.
وقال والي: “ربما كانت مايكروسوفت قادرة على منع هذا الانتهاك إذا طبقت ضوابط وصول أكثر صرامة، وقامت بتدقيق وإلغاء الرموز غير المستخدمة بانتظام، وتثقيف موظفيها بشكل شامل حول أهمية حماية بيانات الاعتماد هذه”. “بالإضافة إلى ذلك، فإن المراقبة المستمرة والأدوات الآلية للكشف عن رموز SAS شديدة التساهل كان من الممكن أيضًا تجنب هذا الخطأ الفادح.”
قالت Microsoft إنه لا توجد مشكلة أمنية أو ثغرة أمنية على هذا النحو في Azure Storage أو ميزة رمز SAS في حد ذاتها، لكنها أشارت إلى أنه يجب دائمًا إنشاء الرموز المميزة وإدارتها بشكل صحيح. منذ وقوع الحادث، قامت Microsoft بتعزيز ميزة رمز SAS المميز وتواصل تقييم الخدمة لتحسينها بشكل أكبر.
قال فريق MSRC: “مثل أي سر، يجب إنشاء رموز SAS المميزة والتعامل معها بشكل مناسب”. “كما هو الحال دائمًا، نحن نشجع العملاء بشدة على اتباع أفضل ممارساتنا عند استخدام رموز SAS لتقليل مخاطر الوصول غير المقصود أو إساءة الاستخدام.
“تقوم Microsoft أيضًا بإجراء تحسينات مستمرة على مجموعة أدوات الكشف والفحص الخاصة بنا لتحديد مثل هذه الحالات بشكل استباقي لعناوين URL SAS التي يتم توفيرها بشكل زائد وتعزيز وضعنا الآمن افتراضيًا.
“نحن نقدر الفرصة التي أتيحت لنا للتحقيق في النتائج التي أبلغت عنها Wiz.io. نحن نشجع جميع الباحثين على العمل مع البائعين بموجب الكشف المنسق عن الثغرات الأمنية والالتزام بقواعد المشاركة في اختبار الاختراق لتجنب التأثير على بيانات العملاء أثناء إجراء البحوث الأمنية.
القضايا البارزة
وقال فريق Wiz.io إن الحادث سلط الضوء على خطرين رئيسيين.
أولاً، الإفراط في مشاركة البيانات – نظرًا لأن الباحثين يجمعون الكثير من هذه البيانات ويشاركونها، لا سيما إذا كانوا يعملون على نموذج للذكاء الاصطناعي، كما في هذه الحالة، فإنهم معرضون بشكل كبير لخطر التسبب في حدوث اختراق عن طريق الخطأ. على هذا النحو، يصبح من الأهمية بمكان أن تحدد فرق الأمان إرشادات واضحة للمشاركة الخارجية لمجموعات بيانات الذكاء الاصطناعي، ويجب أن تتعاون كل من فرق الأمان وفرق البحث والتطوير في هذا الشأن.
ثانياً، هناك خطر حدوث هجوم على سلسلة التوريد. في هذه الحالة، منح الرمز المميز حق الوصول للكتابة إلى حساب التخزين الذي يحتوي على نماذج الذكاء الاصطناعي التي كان الباحث يعمل عليها، لذلك إذا كان ممثل خبيث سريعًا في السحب، فيمكنه بسهولة إدخال تعليمات برمجية ضارة في ملفات النماذج، مما يؤدي إلى هجمات على يصل باحثون آخرون إلى النموذج عبر GitHub، مما يؤدي إلى أضرار لا حصر لها إذا وعندما يدخل الكود إلى الاستخدام العام على نطاق واسع. وعلى هذا النحو، قال الفريق، إنه يجب على الفرق الأمنية اتخاذ خطوات لمراجعة وتعقيم نماذج الذكاء الاصطناعي من مصادر خارجية خشية استخدامها لتحقيق تنفيذ التعليمات البرمجية عن بعد.
