Al final de la semana pasada, Microsoft publicó un informe titulado Análisis de técnicas Storm-0558 para acceso no autorizado a correo electrónico.
En este documento bastante dramático, el equipo de seguridad de la compañía reveló los antecedentes de un hackeo inexplicado previamente en el que se accedió a datos que incluyen texto de correo electrónico, archivos adjuntos y más:
de aproximadamente 25 organizaciones, incluidas agencias gubernamentales y cuentas de consumidores relacionadas en la nube pública.
The bad news, even though only 25 organisations were apparently attacked, is that this cybercrime may nevertheless have affected a large number of individuals, given that some US government bodies employ anywhere from tens to hundreds of thousands of people.
La buena noticia, al menos para la gran mayoría de nosotros que no estuvimos expuestos, es que los trucos y desvíos utilizados en el ataque fueron lo suficientemente específicos como para que los cazadores de amenazas de Microsft pudieran rastrearlos de manera confiable, por lo que el total final de 25 organizaciones De hecho, parece ser una lista completa de objetivos.
En pocas palabras, si aún no ha escuchado directamente de Microsoft sobre ser parte de este ataque (la compañía obviamente no ha publicado una lista de víctimas), entonces también puede asumir que está limpio.
Mejor aún, si mejor es la palabra correcta aquí, el ataque se basó en dos fallas de seguridad en las operaciones de back-end de Microsoft, lo que significa que ambas vulnerabilidades podrían corregirse "internamente", sin eliminar ningún software del lado del cliente o actualizaciones de configuración.
Eso significa que no hay parches críticos que necesites apresurar e instalar tú mismo.
Los días cero que no fueron
Los días cero, como usted sabe, son agujeros de seguridad que los malos encontraron primero y descubrieron cómo explotar, por lo que no quedan días disponibles durante los cuales incluso los equipos de seguridad más inteligentes y mejor informados podrían haber parcheado antes de los ataques.
Por lo tanto, técnicamente, estos dos agujeros de Storm-0558 pueden considerarse días cero, porque los delincuentes explotaron los errores antes de que Microsoft pudiera lidiar con las vulnerabilidades involucradas.
Sin embargo, dado que Microsoft evitó cuidadosamente la palabra "día cero" en su propia cobertura, y dado que reparar los agujeros no requería que todos nosotros descargáramos parches, verá que nos referimos a ellos en el título anterior como dias semi-cero, y dejaremos la descripción así.
No obstante, la naturaleza de los dos problemas de seguridad interconectados en este caso es un recordatorio vital de tres cosas, a saber:
- La criptografía aplicada es difícil.
- La segmentación de seguridad es difícil.
- La caza de amenazas es difícil.
Los primeros signos de maldad mostraron a delincuentes escabulléndose en los datos de Exchange de las víctimas a través de Outlook Web Access (OWA), utilizando tokens de autenticación adquiridos ilícitamente.
Por lo general, un token de autenticación es una cookie web temporal, específica para cada servicio en línea que utiliza, que el servicio envía a su navegador una vez que ha probado su identidad con un estándar satisfactorio.
Para establecer su identidad con seguridad al comienzo de una sesión, es posible que deba ingresar una contraseña y un código 2FA de un solo uso, presentar un dispositivo criptográfico de "clave de paso" como un Yubikey, o desbloquear e insertar una tarjeta inteligente en un lector.
A partir de entonces, la cookie de autenticación emitida a su navegador actúa como un pase a corto plazo para que no necesite ingresar su contraseña o presentar su dispositivo de seguridad una y otra vez para cada interacción que tenga con el sitio.
Puede pensar en el proceso de inicio de sesión inicial como presentar su pasaporte en el mostrador de facturación de una aerolínea y el token de autenticación como la tarjeta de embarque que le permite ingresar al aeropuerto y al avión para un vuelo específico.
Sometimes you might be required to reaffirm your identity by showing your passport again, such as just before you get on the plane, but often showing the boarding card alone will be enough for you to establish your “right to be there” as you make your way around the airside parts of the airport.
Las explicaciones probables no siempre son correctas
Cuando los delincuentes comienzan a aparecer con el token de autenticación de otra persona en los encabezados HTTP de sus solicitudes web, una de las explicaciones más probables es que los delincuentes ya han implantado malware en la computadora de la víctima.
Si ese malware está diseñado para espiar el tráfico de la red de la víctima, generalmente puede ver los datos subyacentes después de que se haya preparado para su uso, pero antes de que se haya cifrado y enviado.
Eso significa que los delincuentes pueden husmear y robar datos vitales de navegación privada, incluidos los tokens de autenticación.
En términos generales, los atacantes ya no pueden detectar tokens de autenticación mientras viajan a través de Internet, como solían hacerlo hasta aproximadamente 2010. Esto se debe a que todos los servicios en línea de buena reputación hoy en día requieren que el tráfico hacia y desde los usuarios conectados debe viajar a través de HTTPS. , y sólo a través de HTTPS, abreviatura de HTTP seguro.
HTTPS usa TLS, abreviatura de Transport Layer Security, que hace lo que su nombre sugiere. Todos los datos están fuertemente encriptados cuando salen de su navegador, pero antes de ingresar a la red, y no se descifran hasta que llegan al servidor previsto en el otro extremo. El mismo proceso de codificación de datos de extremo a extremo ocurre a la inversa para los datos que el servidor devuelve en sus respuestas, incluso si intenta recuperar datos que no existen y todo lo que el servidor necesita decirle es superficial. 404 Page not found
.
Afortunadamente, los cazadores de amenazas de Microsoft pronto se dieron cuenta de que las interacciones fraudulentas por correo electrónico no se debían a un problema desencadenado en el lado del cliente de la conexión de red, una suposición que habría enviado a las organizaciones víctimas a 25 búsquedas inútiles separadas en busca de malware que estuviera No está ahí.
La siguiente explicación más probable es una que, en teoría, es más fácil de arreglar (porque se puede arreglar para todos de una sola vez), pero en la práctica es más alarmante para los clientes, es decir, que los delincuentes de alguna manera han comprometido el proceso de creación de la autenticación. fichas en primer lugar.
Una forma de hacerlo sería piratear los servidores que los generan e implantar una puerta trasera para producir un token válido sin verificar primero la identidad del usuario.
Otra forma, que aparentemente es lo que Microsoft investigó originalmente, es que los atacantes pudieron robar suficientes datos de los servidores de autenticación para generar tokens de autenticación fraudulentos pero de aspecto válido para ellos mismos.
Esto implicaba que los atacantes habían logrado robar una de las claves de firma criptográfica que el servidor de autenticación usa para estampar un "sello de validez" en los tokens que emite, para que sea casi imposible que cualquiera pueda crear un token falso. eso pasaría la prueba.
Al utilizar una clave privada segura para agregar una firma digital a cada token de acceso emitido, un servidor de autenticación facilita que cualquier otro servidor del ecosistema verifique la validez de los tokens que recibe. De esa manera, el servidor de autenticación puede incluso funcionar de manera confiable en diferentes redes y servicios sin necesidad de compartir (y actualizar periódicamente) una lista filtrable de tokens reales y en buen estado.
Un truco que se suponía que no debía funcionar
Microsoft ultimately determined that the rogue access tokens in the Storm-0558 attack were legitimately signed, which seemed to suggest that someone had indeed pinched a company signing key…
…pero en realidad no eran el tipo correcto de fichas en absoluto.
Se supone que las cuentas corporativas se autentican en la nube mediante tokens de Azure Active Directory (AD), pero estos tokens de ataque falsos se firmaron con lo que se conoce como clave MSA, abreviatura de Cuenta de Microsoft, which is apparent the initialism used to refer to standalone consumer accounts rather than AD-based corporate ones.
Hablando en términos generales, los delincuentes acuñaron tokens de autenticación falsos que pasaron los controles de seguridad de Microsoft, pero esos tokens se firmaron como si fueran para un usuario que inicia sesión en una cuenta personal de Outlook.com en lugar de para un usuario corporativo que inicia sesión en una cuenta corporativa.
En una palabra, "¡¿¡¡¿Qué?!!?!"
Aparentemente, los ladrones no pudieron robar una clave de firma de nivel corporativo, solo una de nivel de consumidor (eso no es un menosprecio de los usuarios de nivel de consumidor, simplemente una sabia precaución criptográfica para dividir y separar las dos partes del ecosistema).
Pero después de haber logrado este primer día semi-cero, es decir, adquirir un secreto criptográfico de Microsoft sin ser notados, los delincuentes aparentemente encontraron un segundo día semi-cero mediante el cual podían hacer pasar un token de acceso firmado con una clave de cuenta de consumidor que Debería haber señalado "esta clave no pertenece aquí" como si fuera un token firmado por Azure AD.
En otras palabras, a pesar de que los ladrones se quedaron con el tipo de clave de firma incorrecta para el ataque que habían planeado, encontraron una manera de eludir las medidas de seguridad de dividir y separar que se suponía que evitarían que la clave robada funcionara.
Más malas y buenas noticias
La mala noticia para Microsoft es que esta no es la única vez que se ha encontrado que la empresa no está segura de firmar la clave de seguridad en el último año.
La último martes de parches, de hecho, vio a Microsoft ofrecer tardíamente protección de lista negra contra un montón de controladores de kernel de Windows maliciosos e infectados con malware que el propio Redmond ha firmado bajo la égida de su Programa de desarrollo de hardware de Windows.
La buena noticia es que, debido a que los delincuentes usaban tokens de acceso de estilo corporativo firmados con una clave criptográfica de estilo de consumidor, sus credenciales de autenticación no autorizadas podrían ser detectadas de manera confiable una vez que el equipo de seguridad de Microsoft supiera qué buscar.
En un lenguaje rico en jerga, Microsoft señala que:
El uso de una clave incorrecta para firmar las solicitudes permitió a nuestros equipos de investigación ver todas las solicitudes de acceso de los actores que siguieron este patrón en nuestros sistemas empresariales y de consumo.
El uso de la clave incorrecta para firmar este alcance de aserciones fue un indicador obvio de la actividad del actor, ya que ningún sistema de Microsoft firma tokens de esta manera.
En un lenguaje más sencillo, la desventaja del hecho de que nadie en Microsoft supiera esto de antemano (lo que impidió que se corrigiera de manera proactiva) llevó, irónicamente, a la ventaja de que nadie en Microsoft había intentado escribir código para que funcionara de esa manera. .
Y eso, a su vez, significó que el comportamiento deshonesto en este ataque podría usarse como un IoC único y confiable, o indicador de compromiso.
Suponemos que es por eso que Microsoft ahora se siente seguro al afirmar que ha rastreado cada instancia en la que se explotaron estos agujeros de día doble semi-cero y, por lo tanto, que su lista de 25 clientes afectados es exhaustiva.
¿Qué hacer?
Si Microsoft no se ha puesto en contacto con usted acerca de esto, entonces creemos que puede estar seguro de que no se vio afectado.
Y debido a que los remedios de seguridad se han aplicado dentro del propio servicio en la nube de Microsoft (es decir, rechazar cualquier clave de firma de MSA robada y cerrar la brecha que permite que se use "el tipo de clave incorrecto" para la autenticación corporativa), no necesita luchar para instale los parches usted mismo.
Sin embargo, si usted es un programador, un practicante de control de calidad, un miembro del equipo rojo/equipo azul o está involucrado en TI de otra manera, recuerde los tres puntos que mencionamos en la parte superior de este artículo:
- La criptografía aplicada es difícil. No solo necesita elegir los algoritmos correctos e implementarlos de forma segura. También debe usarlos correctamente y administrar las claves criptográficas de las que depende el sistema con el cuidado adecuado a largo plazo.
- La segmentación de seguridad es difícil. Incluso cuando crea que ha dividido una parte compleja de su ecosistema en dos o más partes, como lo hizo Microsoft aquí, debe asegurarse de que la separación realmente funcione como espera. Investigue y pruebe usted mismo la seguridad de la separación, porque si no la prueba, los delincuentes seguramente lo harán.
- La caza de amenazas es difícil. La primera y más obvia explicación no siempre es la correcta, o puede que no sea la única. No dejes de buscar cuando tengas tu primera explicación plausible. Continúe hasta que no solo haya identificado las vulnerabilidades reales utilizadas en el ataque actual, sino que también haya descubierto tantas otras causas potencialmente relacionadas como pueda, para que pueda parchearlas de manera proactiva.
Para citar una frase muy conocida (y el hecho de que sea cierta significa que no nos preocupa que sea un cliché): La ciberseguridad es un viaje, no un destino.
¿Tiene poco tiempo o experiencia para encargarse de la búsqueda de amenazas de ciberseguridad? ¿Le preocupa que la ciberseguridad termine distrayéndolo de todas las demás cosas que necesita hacer?
Aprenda más sobre Detección y respuesta gestionadas por Sophos:
Búsqueda, detección y respuesta de amenazas las 24 horas del día, los 7 días de la semana ▶
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :posee
- :es
- :no
- :dónde
- $ UP
- 1
- 15%
- 25
- 2FA
- a
- Poder
- Nuestra Empresa
- sobre TI
- arriba
- Absoluto
- de la máquina
- visitada
- Mi Cuenta
- Cuentas
- adquirido
- adquisición
- a través de
- lector activo
- Directorio Activo
- actividad
- hechos
- real
- Ad
- add
- avanzar
- Después
- de nuevo
- en contra
- agencias
- línea aérea
- aeropuerto
- algoritmos
- Todos
- permitido
- Permitir
- solo
- ya haya utilizado
- también
- hacerlo
- an
- y
- cualquier
- nadie
- dondequiera
- aparente
- aplicada
- aproximadamente
- somos
- en torno a
- artículo
- AS
- asumir
- asunción
- Seguro
- At
- atacar
- ataques
- autenticado
- Autenticación
- autor
- auto
- Hoy Disponibles
- evitado
- Azure
- Atrás
- Back-end
- puerta trasera
- fondo
- background-image
- Malo
- BE
- porque
- esto
- antes
- "Ser"
- mejores
- Tablas de remo
- cuerpos
- frontera
- ambas
- Fondo
- cada navegador
- Navegador
- loco
- Manojo
- pero
- by
- PUEDEN
- tarjeta
- servicios sociales
- estudiar cuidadosamente
- case
- causas
- Reubicación
- ciertamente
- comprobar
- comprobación
- Cheques
- Elige
- limpiar
- cliente
- cierre
- Soluciones
- código
- Color
- COM
- comúnmente
- compañía
- De la empresa
- completar
- integraciones
- Comprometida
- computadora
- seguros
- Configuración
- conexión
- considerado
- consumidor
- galleta
- Sector empresarial
- podría
- Protectora
- cobertura
- Para crear
- Creamos
- Referencias
- Los criminales
- crítico
- Crooks
- criptográfico
- criptografía
- Current
- Clientes
- ciberdelincuencia
- La Ciberseguridad
- datos
- día
- Días
- acuerdo
- descripción
- diseñado
- escritorio
- destino
- Detección
- determina
- Developer
- dispositivo
- HIZO
- una experiencia diferente
- digital
- directamente
- descubierto CRISPR
- Pantalla
- do
- documento
- sí
- No
- No
- DE INSCRIPCIÓN
- descargar
- Abajo
- verdadero
- conductores
- durante
- cada una
- más fácil
- de forma sencilla
- ecosistema
- De lo contrario
- cifrado
- final
- de extremo a extremo
- Inglés
- suficientes
- Participar
- Empresa
- llamado
- establecer
- Incluso
- NUNCA
- Cada
- todos
- Intercambio
- existe
- esperar
- Experiencia
- explicación
- Explotar
- Explotado
- exploits
- expuesto
- hecho
- falso
- calculado
- final
- Nombre
- Fijar
- fijas
- vuelo
- seguido
- encontrado
- fraudulento
- Desde
- generar
- obtener
- dado
- Go
- va
- candidato
- Gobierno
- corte
- tenido
- que sucede
- Difícil
- Materiales
- Tienen
- es
- cabeceras
- titular
- oído
- altura
- esta página
- Golpear
- Agujeros
- flotar
- Cómo
- Como Hacer
- http
- HTTPS
- Cientos
- Caza
- no haber aun identificado una solucion para el problema
- Identidad
- if
- implementar
- implícito
- in
- Incluye
- Indicador
- individuos
- inicial
- dentro
- instalar
- ejemplo
- Destinado a
- interacción
- interacciones
- interconectado
- Internet
- dentro
- investigación
- involucra
- Irónicamente
- Emitido
- cuestiones
- IT
- SUS
- sí mismo
- jpg
- solo
- Guardar
- Clave
- claves
- Saber
- conocido
- idioma
- large
- Apellido
- .
- menos
- Abandonar
- dejarlo
- LED
- izquierda
- Permíteme
- como
- que otros
- Lista
- registro
- Inicie sesión
- compromiso a largo plazo
- Mira
- mirando
- escapatoria
- hecho
- Mayoría
- para lograr
- HACE
- el malware
- gestionan
- gestionado
- muchos
- Margen
- max-ancho
- Puede..
- sentido
- significa
- significó
- medidas
- simplemente
- Microsoft
- podría
- acuñación
- más,
- MEJOR DE TU
- debe
- nombre
- a saber
- Naturaleza
- ¿ Necesita ayuda
- necesidad
- del sistema,
- tráfico de red
- telecomunicaciones
- redes y servicios
- sin embargo
- noticias
- no
- normal
- Notas
- ahora
- número
- obvio
- of
- off
- que ofrece
- a menudo
- on
- una vez
- ONE
- las
- en línea
- , solamente
- Operaciones
- or
- Organización
- para las fiestas.
- originalmente
- Otro
- de otra manera
- nuestros
- salir
- Outlook
- Más de
- EL DESARROLLADOR
- página
- parte
- partes
- pass
- pasado
- pasaporte
- Contraseña
- pasado
- Patch
- Parches
- Patrón de Costura
- Paul
- Personas
- con
- Colocar
- planificado
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- plausible
- Por favor
- puntos
- posición
- Artículos
- la posibilidad
- preparado
- presente
- la prevención
- previamente
- privada
- clave privada
- sonda
- Problema
- problemas
- producir
- Programa
- Programador
- Protección
- demostrado
- público
- nube pública
- publicado
- Emprendedor
- poner
- calidad
- cotización inicial
- más bien
- alcances
- Testimoniales
- realmente
- recepción
- Rojo
- referido
- regularmente
- relacionado
- relativo
- confianza
- reporte
- acreditado
- solicitudes
- exigir
- Requisitos
- requiere
- respeto
- Revelado
- marcha atrás
- Derecho
- prisa
- s
- mismo
- Sierra
- alcance
- Temporada
- Segundo
- Secreto
- seguro
- segura
- EN LINEA
- Medidas de Seguridad
- ver
- parecer
- parecía
- segmentación
- envío
- envía
- expedido
- separado
- de coches
- Servicios
- Sesión
- Compartir
- En Corto
- a corto plazo
- tienes
- mostró
- demostración
- lado
- firmar
- firmado
- firma
- Letreros y Pancartas
- soltero
- página web
- inteligente
- fisgón
- So
- Software
- sólido
- algo
- Alguien
- Pronto
- hablar
- soluciones y
- dividido
- independiente
- estándar
- comienzo
- Estado
- robada
- Detener
- Storm
- se mostró plenamente
- tal
- sugieren
- Sugiere
- adecuado
- Supuesto
- seguro
- SVG
- te
- Todas las funciones a su disposición
- ¡Prepárate!
- cuento
- equipo
- equipos
- técnicas
- les digas
- temporal
- tener
- test
- que
- esa
- La
- su
- Les
- sí mismos
- luego
- teoría
- Ahí.
- por lo tanto
- Estas
- ellos
- cosas
- pensar
- así
- aquellos
- ¿aunque?
- miles
- amenaza
- Tres
- equipo
- TLS
- a
- ficha
- Tokens
- parte superior
- Total
- seguir
- tráfico
- transición
- transparente
- viajes
- probado
- desencadenados
- verdadero
- try
- GIRO
- dos
- típicamente
- Finalmente, a veces
- bajo
- subyacente
- único
- desbloquear
- hasta
- Actualizar
- Actualizaciones
- a
- Al revés
- Enlance
- us
- Gobierno de los Estados Unidos
- utilizan el
- usado
- Usuario
- usuarios
- usos
- usando
- Vasto
- vía
- Víctima
- las víctimas
- vital
- Vulnerabilidades
- falto
- fue
- Camino..
- we
- web
- semana
- WELL
- bien conocido
- tuvieron
- ¿
- cuando
- que
- QUIENES
- porque
- Wild
- seguirá
- ventanas
- FUNDACION
- sin
- Palabra
- palabras
- Actividades:
- trabajando
- preocupado
- se
- escribir
- escribir código
- Mal
- año
- aún
- Usted
- tú
- a ti mismo
- zephyrnet