Microsoft раскрывает, как хакеры украли ее ключ для подписи электронной почты… Что-то вроде
Ряд досадных каскадных ошибок позволил хакерской группе, поддерживаемой Китаем, украсть один из ключей к почтовому королевству Microsoft, которое предоставило практически неограниченный доступ к почтовым ящикам правительства США. Microsoft объяснила в долгожданном сообщении в блоге на этой неделе, как хакерам удалось осуществить ограбление. Но даже несмотря на то, что загадка раскрыта, некоторые важные детали остаются неизвестными.
Напомним, в июле Microsoft сообщила, что хакеры, которых она называет Storm-0558 и которые, по ее словам, поддерживаются Китаем, «приобрели» ключ подписи электронной почты, который Microsoft использует для защиты потребительских учетных записей электронной почты, таких как Outlook.com. Хакеры использовали этот цифровой ключ для взлома личных и рабочих учетных записей электронной почты правительственных чиновников, размещенных в Microsoft. Предполагается, что взлом представляет собой целенаправленную шпионскую кампанию, направленную на слежку за несекретными электронными письмами правительственных чиновников и дипломатов США, в число которых, предположительно, входят министр торговли США Джина Раймондо и посол США в Китае Николас Бернс.
Как хакеры получили этот потребительский ключ для подписи электронной почты, оставалось загадкой даже для Microsoft до тех пор, пока на этой неделе технический гигант с опозданием не обозначил пять отдельных проблем, которые привели к возможной утечке ключа.
В своем блоге Microsoft сообщила, что в апреле 2021 года произошел сбой в системе, используемой в процессе подписи потребительских ключей. В результате сбоя был создан снимок системы для последующего анализа. Эта система подписи потребительских ключей хранится в «высоко изолированной и ограниченной» среде, где доступ к Интернету блокируется для защиты от ряда кибератак. Без ведома Microsoft, когда система вышла из строя, образ снимка случайно включил копию ключа подписи потребителя 1️⃣, но системам Microsoft не удалось обнаружить ключ в снимке 2️⃣.
Затем снимок был «перемещен из изолированной производственной сети в нашу среду отладки в корпоративной сети, подключенной к Интернету», чтобы понять, почему система вышла из строя. Microsoft заявила, что это соответствует ее стандартному процессу отладки, но методы анализа учетных данных компании также не обнаружили присутствия ключа в снимке 3️⃣.
Затем, спустя некоторое время после того, как снимок был перенесен в корпоративную сеть Microsoft в апреле 2021 года, Microsoft заявила, что хакерам Storm-0558 удалось «успешно скомпрометировать» учетную запись инженера Microsoft, имевшего доступ к среде отладки. . где хранился снимок, содержащий ключ подписи потребителя. Microsoft заявила, что не может быть полностью уверена, что ключ был украден, поскольку «у нас нет журналов с конкретными доказательствами этой кражи», но отметила, что это «наиболее распространенный вероятный механизм, с помощью которого злоумышленник получил ключ». р>
Что касается того, как потребительский ключ подписи предоставлял доступ к корпоративным и корпоративным учетным записям электронной почты нескольких организаций и государственных ведомств, Microsoft заявила, что ее системы электронной почты не работали автоматически или правильно выполняли проверку 4️⃣ ключа, что означало, что система электронной почты Microsoft «примет запрос по деловой электронной почте с использованием токена безопасности, подписанного ключом потребителя», — заявили в компании 5️⃣.
Признание Microsoft того, что ключ подписи потребителя, скорее всего, был украден из ее собственных систем, опровергает теорию о том, что ключ мог быть получен где-то еще.
Но обстоятельства, при которых злоумышленники взломали Microsoft, остаются открытым вопросом. Когда к нему обратились за комментариями, Джефф Джонс, старший директор Microsoft, сообщил TechCrunch, что учетная запись инженера была скомпрометирована с помощью «вредоносного ПО, похищающего токены», но отказался от комментариев.
Вредоносное ПО для кражи токенов, которое может распространяться через фишинговые или вредоносные ссылки, ищет токены сеанса на компьютере жертвы. Токены сеанса — это небольшие файлы, которые позволяют пользователям постоянно оставаться в системе без необходимости постоянного повторного ввода пароля или повторной авторизации с помощью двухфакторной аутентификации. Таким образом, украденные токены сеанса могут предоставить злоумышленнику тот же доступ, что и пользователю, без необходимости использования пароля пользователя или двухфакторного кода.
Этот метод атаки аналогичен тому, который Uber использовал в прошлом году командой подростков-хакеров под названием Lapsus$, которые использовали вредоносное ПО для кражи паролей или токенов сеансов сотрудников Uber. Компания-разработчик программного обеспечения CircleCi также была
Ряд досадных каскадных ошибок позволил хакерской группе, поддерживаемой Китаем, украсть один из ключей к почтовому королевству Microsoft, которое предоставило практически неограниченный доступ к почтовым ящикам правительства США. Microsoft объяснила в долгожданном сообщении в блоге на этой неделе, как хакерам удалось осуществить ограбление. Но даже несмотря на то, что загадка раскрыта, некоторые важные детали остаются неизвестными.
Напомним, в июле Microsoft сообщила, что хакеры, которых она называет Storm-0558 и которые, по ее словам, поддерживаются Китаем, «приобрели» ключ подписи электронной почты, который Microsoft использует для защиты потребительских учетных записей электронной почты, таких как Outlook.com. Хакеры использовали этот цифровой ключ для взлома личных и рабочих учетных записей электронной почты правительственных чиновников, размещенных в Microsoft. Предполагается, что взлом представляет собой целенаправленную шпионскую кампанию, направленную на слежку за несекретными электронными письмами правительственных чиновников и дипломатов США, в число которых, предположительно, входят министр торговли США Джина Раймондо и посол США в Китае Николас Бернс.
Как хакеры получили этот потребительский ключ для подписи электронной почты, оставалось загадкой даже для Microsoft до тех пор, пока на этой неделе технический гигант с опозданием не обозначил пять отдельных проблем, которые привели к возможной утечке ключа.
В своем блоге Microsoft сообщила, что в апреле 2021 года произошел сбой в системе, используемой в процессе подписи потребительских ключей. В результате сбоя был создан снимок системы для последующего анализа. Эта система подписи потребительских ключей хранится в «высоко изолированной и ограниченной» среде, где доступ к Интернету блокируется для защиты от ряда кибератак. Без ведома Microsoft, когда система вышла из строя, образ снимка случайно включил копию ключа подписи потребителя 1️⃣, но системам Microsoft не удалось обнаружить ключ в снимке 2️⃣.
Затем снимок был «перемещен из изолированной производственной сети в нашу среду отладки в корпоративной сети, подключенной к Интернету», чтобы понять, почему система вышла из строя. Microsoft заявила, что это соответствует ее стандартному процессу отладки, но методы анализа учетных данных компании также не обнаружили присутствия ключа в снимке 3️⃣.
Затем, спустя некоторое время после того, как снимок был перенесен в корпоративную сеть Microsoft в апреле 2021 года, Microsoft заявила, что хакерам Storm-0558 удалось «успешно скомпрометировать» учетную запись инженера Microsoft, имевшего доступ к среде отладки. . где хранился снимок, содержащий ключ подписи потребителя. Microsoft заявила, что не может быть полностью уверена, что ключ был украден, поскольку «у нас нет журналов с конкретными доказательствами этой кражи», но отметила, что это «наиболее распространенный вероятный механизм, с помощью которого злоумышленник получил ключ». р>
Что касается того, как потребительский ключ подписи предоставлял доступ к корпоративным и корпоративным учетным записям электронной почты нескольких организаций и государственных ведомств, Microsoft заявила, что ее системы электронной почты не работали автоматически или правильно выполняли проверку 4️⃣ ключа, что означало, что система электронной почты Microsoft «примет запрос по деловой электронной почте с использованием токена безопасности, подписанного ключом потребителя», — заявили в компании 5️⃣.
Признание Microsoft того, что ключ подписи потребителя, скорее всего, был украден из ее собственных систем, опровергает теорию о том, что ключ мог быть получен где-то еще.
Но обстоятельства, при которых злоумышленники взломали Microsoft, остаются открытым вопросом. Когда к нему обратились за комментариями, Джефф Джонс, старший директор Microsoft, сообщил TechCrunch, что учетная запись инженера была скомпрометирована с помощью «вредоносного ПО, похищающего токены», но отказался от комментариев.
Вредоносное ПО для кражи токенов, которое может распространяться через фишинговые или вредоносные ссылки, ищет токены сеанса на компьютере жертвы. Токены сеанса — это небольшие файлы, которые позволяют пользователям постоянно оставаться в системе без необходимости постоянного повторного ввода пароля или повторной авторизации с помощью двухфакторной аутентификации. Таким образом, украденные токены сеанса могут предоставить злоумышленнику тот же доступ, что и пользователю, без необходимости использования пароля пользователя или двухфакторного кода.
Этот метод атаки аналогичен тому, который Uber использовал в прошлом году командой подростков-хакеров под названием Lapsus$, которые использовали вредоносное ПО для кражи паролей или токенов сеансов сотрудников Uber. Компания-разработчик программного обеспечения CircleCi также была
What's Your Reaction?
