Eelmise nädala lõpus avaldas Microsoft aruande pealkirjaga Storm-0558 tehnikate analüüs volitamata e-posti juurdepääsu jaoks.
Selles üsna dramaatilises dokumendis paljastas ettevõtte turvameeskond varem seletamatu häkkimise tausta, mille käigus pääseti juurde andmetele, sealhulgas e-posti tekstile, manustele ja muule:
ligikaudu 25 organisatsioonilt, sealhulgas valitsusasutustelt ja nendega seotud tarbijakontodelt avalikus pilves.
The bad news, even though only 25 organisations were apparently attacked, is that this cybercrime may nevertheless have affected a large number of individuals, given that some US government bodies employ anywhere from tens to hundreds of thousands of people.
The good news, at least for the vast majority of us who weren’t exposed, is that the tricks and bypasses used in the attack were specific enough that Microsft threat hunters were able to track them down reliably, so the final total of 25 organisations does indeed seem to be a complete hit-list.
Lihtsamalt öeldes, kui te pole veel Microsoftilt selles häkkimises osalemise kohta otse kuulnud (ettevõte pole ilmselgelt ohvrite nimekirja avaldanud), siis võite sama hästi eeldada, et teil on kõik selge.
Veelgi parem, kui siin on õige sõna, põhines rünnak kahel turbeveal Microsofti taustatoimingutes, mis tähendab, et mõlemad haavatavused saab parandada "majasiseselt", ilma kliendipoolset tarkvara või konfiguratsioonivärskendusi välja tõrjumata.
See tähendab, et pole ühtegi kriitilist plaastrit, mida peaksite kiirustama ja ise installima.
Nullpäevad, mida ei olnud
Zero-days, as you know, are security holes that the Bad Guys found first and figured out how to exploit, thus leaving no days available during which even the keenest and best-informed security teams could have patched in advance of the attacks.
Tehniliselt võib seega pidada neid kahte Storm-0558 auku nullpäevadeks, sest kelmid kasutasid vigu usinalt enne, kui Microsoft suutis kaasatud haavatavustega toime tulla.
Arvestades aga, et Microsoft vältis hoolikalt sõna "nullpäev" oma kajastustes ja arvestades, et aukude parandamine ei nõudnud meilt kõigilt plaastrite allalaadimist, näete, et viitasime neile ülaltoodud pealkirjas kui poolnull päevad, ja jätame kirjelduse sinnapaika.
Sellegipoolest tuletab kahe omavahel seotud turvaprobleemi olemus käesoleval juhul oluliseks meelde kolme asja, nimelt järgmist:
- Rakenduslik krüptograafia on raske.
- Turvalisuse segmenteerimine on raske.
- Ohujaht on raske.
Esimesed märgid kurjast tegudest näitasid, et petturid hiilisid Outlook Web Accessi (OWA) kaudu ohvrite Exchange'i andmetesse, kasutades ebaseaduslikult omandatud autentimismärke.
Tavaliselt on autentimisluba ajutine veebiküpsis, mis on spetsiifiline iga teie kasutatava võrguteenuse jaoks ja mille teenus saadab teie brauserisse, kui olete oma identiteedi rahuldaval tasemel tõestanud.
Oma identiteedi kindlakstegemiseks seansi alguses peate võib-olla sisestama parooli ja ühekordse 2FA-koodi, esitama krüptograafilise "pääsuvõtme" seadme (nt Yubikey) või avama ja sisestama kiipkaardi lugeja.
Seejärel toimib teie brauserile väljastatud autentimisküpsis lühiajalise pääsmena, nii et te ei pea iga kord, kui teie saidiga suhtlete, oma parooli ega turvaseadet ikka ja jälle esitama.
Võite mõelda esialgsele sisselogimisprotsessile, nagu passi esitamine lennufirma registreerimislauas ja autentimismärk kui pardakaart, mis lubab teid konkreetse lennu jaoks lennujaama ja lennukile.
Sometimes you might be required to reaffirm your identity by showing your passport again, such as just before you get on the plane, but often showing the boarding card alone will be enough for you to establish your “right to be there” as you make your way around the airside parts of the airport.
Tõenäolised seletused ei ole alati õiged
When crooks start showing up with someone else’s authentication token in the HTTP headers of their web requests, one of the most likely explanations is that the criminals have already implanted malware on the victim’s computer.
Kui see pahavara on loodud ohvri võrguliikluse järele luuramiseks, näeb see tavaliselt aluseks olevaid andmeid pärast seda, kui see on kasutamiseks ette valmistatud, kuid enne selle krüpteerimist ja väljasaatmist.
See tähendab, et kelmid võivad nuhkida ja varastada olulisi privaatseid sirvimisandmeid, sealhulgas autentimismärke.
Generally speaking, attackers can’t sniff out authentication tokens as they travel across the internet any more, as they commonly could until about 2010. That’s because every reputable online service these days requires that traffic to and from logged-on users must travel via HTTPS, and only via HTTPS, short for turvaline HTTP.
HTTPS kasutab TLS-i, mis on lühend transpordikihi turvalisus, mis teeb seda, mida selle nimi viitab. Kõik andmed on tugevalt krüptitud, kui need teie brauserist lahkuvad, kuid enne võrku jõudmist, ja neid ei dekrüpteerita enne, kui need teises otsas ettenähtud serverisse jõuavad. Sama täielik andmete skrambleerimisprotsess toimub vastupidises järjekorras nende andmete puhul, mille server oma vastustes tagasi saadab, isegi kui proovite hankida andmeid, mida pole olemas ja server peab teile ütlema, et see on tühine. 404 Page not found
.
Fortunately, Microsoft threat hunters soon realised that the fraudulent email interactions weren’t down to a problem triggered at the client side of the network connection, an assumption that would have sent the victim organisations off on 25 separate wild goose chases looking for malware that wasn’t there.
Kõige tõenäolisem seletus on selline, mida on teoreetiliselt lihtsam parandada (kuna seda saab parandada kõigi jaoks ühe korraga), kuid praktikas on see klientide jaoks murettekitavam, nimelt on kelmid autentimise loomise protsessi kuidagi kompromiteerinud. esiteks märgid.
Üks võimalus seda teha oleks neid genereerivatesse serveritesse sissemurdmine ja tagaukse paigaldamine kehtiva märgi loomiseks ilma kasutaja identiteeti esmalt kontrollimata.
Teine võimalus, mida Microsoft ilmselt algselt uuris, on see, et ründajad suutsid autentimisserveritest varastada piisavalt andmeid, et luua enda jaoks petturlikke, kuid kehtiva välimusega autentimismärke.
See viitas sellele, et ründajatel õnnestus varastada üks krüptograafilistest allkirjastamisvõtmetest, mida autentimisserver kasutab oma väljastatud žetoonidele „kehtivuspitsati” vajutamiseks, et muuta võltsmärgi loomine nii hästi kui võimatuks. see läheks üle.
By using a secure private key to add a digital signature to every access token issued, an authentication server makes it easy for any other server in the ecosystem to check the validity of the tokens that they receive. That way, the authentication server can even work reliably across different networks and services without ever needing to share (and regularly to update) a leakable list of actual, known-good tokens.
Häkk, mis ei pidanud töötama
Microsoft ultimately determined that the rogue access tokens in the Storm-0558 attack were legitimately signed, which seemed to suggest that someone had indeed pinched a company signing key…
…aga need polnud tegelikult üldse õiget sorti märgid.
Ettevõtete kontod peaksid olema pilves autentitud, kasutades Azure Active Directory (AD) märke, kuid need võltsründemärgid allkirjastati nn MSA-võtmega. Microsoft konto, which is apparent the initialism used to refer to standalone consumer accounts rather than AD-based corporate ones.
Lõdvalt öeldes vermisid kelmid võltsitud autentimismärke, mis läbisid Microsofti turvakontrolli, kuid need märgid allkirjastati justkui isiklikule Outlook.com-i kontole sisse logiva kasutaja jaoks, mitte ettevõtte kontole sisse logiva ettevõtte kasutaja jaoks.
Ühesõnaga "Mida?!!?!"
Ilmselt ei suutnud kelmid varastada ettevõtte tasemel allkirjastamisvõtit, vaid ainult tarbijataseme võtit (see ei ole tarbijataseme kasutajate halvustamine, vaid tark krüptograafiline ettevaatusabinõu kahe osa jagamiseks ja eraldamiseks. ökosüsteem).
But having pulled off this first semi-zero day, namely acquiring a Microsoft cryptographic secret without being noticed, the crooks apparently found a second semi-zero day by means of which they could pass off an access token signed with a consumer-account key that should have signalled “this key does not belong here” as if it were an Azure AD-signed token instead.
Teisisõnu, kuigi kelmid jäid kavandatud rünnaku jaoks kinni vale allkirjastamisvõtmega, leidsid nad siiski võimaluse mööda minna jaga ja eralda turvameetmetest, mis pidid nende varastatud võtme töötamise peatama.
Veel halbu ja häid uudiseid
Halb uudis Microsofti jaoks on see, et see pole ainus kord, kui ettevõttel on viimase aasta jooksul leitud puudust võtmeturvalisuse allkirjastamise osas.
. viimane plaastri teisipäevTõepoolest, Microsoft pakkus hilinemisega blokeerimisloendi kaitset paljude võltsitud, pahavaraga nakatunud Windowsi tuuma draiverite vastu, millele Redmond ise on oma Windowsi riistvaraarendaja programmi egiidi all alla kirjutanud.
Hea uudis on see, et kuna kelmid kasutasid korporatiivseid juurdepääsulubasid, mis olid allkirjastatud tarbijatüüpi krüptograafilise võtmega, sai nende võltsitud autentimismandaate usaldusväärselt ohujahti pidada, kui Microsofti turvameeskond teadis, mida otsida.
Kõrgsõnarohkes keeles märgib Microsoft järgmist:
Ebaõige võtme kasutamine taotluste allkirjastamiseks võimaldas meie uurimisrühmadel näha kõiki osalejate juurdepääsutaotlusi, mis järgisid seda mustrit nii meie ettevõtte kui ka tarbijasüsteemides.
Vale võtme kasutamine selle väidete ulatuse allkirjastamiseks oli ilmne näitaja näitleja tegevusest, kuna ükski Microsofti süsteem ei allkirjasta žetoone sel viisil.
Lihtsamalt öeldes tõi Microsofti negatiivne külg, et keegi sellest ette ei teadnud (mis takistas selle ennetavat lappimist), iroonilisel kombel selleni, et keegi Microsoftis polnud kunagi proovinud kirjutada koodi, mis nii toimiks. .
Ja see omakorda tähendas, et selle ründe ebaausat käitumist saab kasutada usaldusväärse, ainulaadse IoC-na või kompromissi näitaja.
Eeldame, et see on põhjus, miks Microsoft on nüüd veendunud, et kinnitab, et on jälile saanud kõik juhtumid, kus neid topelt-poolnull-päeva auke ära kasutati, ja seega on tema 25-liikmeline mõjutatud klientide nimekiri ammendav.
Mida teha?
Kui Microsoft pole teiega selles küsimuses ühendust võtnud, siis arvame, et võite olla kindel, et teid see ei mõjutanud.
Ja kuna turvameetmeid on rakendatud Microsofti enda pilveteenuse sees (nimelt kõigist varastatud MSA allkirjastamisvõtmetest lahtiütlemine ja lünga sulgemine, mis võimaldab ettevõtte autentimiseks kasutada „valet tüüpi võtit”), ei pea te rüselema installige kõik plaastrid ise.
Kui aga olete programmeerija, kvaliteedi tagamise praktik, punane/sinine meeskonnatöötaja või muul viisil IT-ga seotud, tuletage meelde kolme punkti, mille me selle artikli alguses tõime:
- Rakenduslik krüptograafia on raske. Te ei pea lihtsalt valima õigeid algoritme ja neid turvaliselt rakendama. Samuti peate neid õigesti kasutama ja sobiva pikaajalise hooldusega haldama kõiki krüptovõtmeid, millele süsteem tugineb.
- Turvalisuse segmenteerimine on raske. Even when you think you’ve split a complex part of your ecosystem into two or more parts, as Microsoft did here, you need to make sure that the separation really does work as you expect. Probe and test the security of the separation yourself, because if you don’t test it, the crooks certainly will.
- Ohujaht on raske. Esimene ja kõige ilmsem seletus ei ole alati õige või ei pruugi olla ainus. Ärge lõpetage jahti, kui teil on esimene usutav selgitus. Jätkake, kuni te pole mitte ainult tuvastanud praeguses rünnakus kasutatud tegelikke ärakasutusi, vaid avastanud ka võimalikult palju muid potentsiaalselt seotud põhjuseid, et saaksite neid ennetavalt parandada.
To quote a well-known phrase (and the fact that it’s true means we aren’t worried about it being s cliche): Küberturvalisus on teekond, mitte sihtkoht.
Short of time or expertise to take care of cybersecurity threat hunting? Worried that cybersecurity will end up distracting you from all the other things you need to do?
Lisateave Sophose hallatav tuvastamine ja reageerimine:
Ööpäevaringne ohtude otsimine, avastamine ja reageerimine ▶
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :on
- :on
- :mitte
- : kus
- $ UP
- 1
- 15%
- 25
- 2FA
- a
- Võimalik
- MEIST
- sellest
- üle
- absoluutne
- juurdepääs
- pääses
- konto
- Kontod
- omandatud
- omandamine
- üle
- aktiivne
- Active Directory
- tegevus
- õigusaktid
- tegelik
- tegelikult
- Ad
- lisama
- edendama
- pärast
- jälle
- vastu
- asutused
- lennukompanii
- lennujaam
- algoritme
- Materjal: BPA ja flataatide vaba plastik
- lubatud
- Lubades
- üksi
- juba
- Ka
- alati
- an
- ja
- mistahes
- keegi
- kuskil
- ilmne
- rakendatud
- umbes
- OLEME
- ümber
- artikkel
- AS
- eeldab
- eeldus
- kinnitus
- At
- rünnak
- Reageerib
- autenditud
- Autentimine
- autor
- auto
- saadaval
- vältida
- Taevasina
- tagasi
- Back-end
- tagauks
- tagapõhi
- background-image
- Halb
- BE
- sest
- olnud
- enne
- on
- Parem
- pardale minek
- asutused
- piir
- mõlemad
- põhi
- brauseri
- Sirvimine
- vead
- Kobar
- kuid
- by
- CAN
- kaart
- mis
- hoolikalt
- juhul
- põhjuste
- keskus
- kindlasti
- kontrollima
- kontroll
- Kontroll
- Vali
- selge
- klient
- Sulgemine
- Cloud
- kood
- värv
- COM
- tavaliselt
- ettevõte
- Ettevõtte omad
- täitma
- keeruline
- Kompromissitud
- arvuti
- kindel
- konfiguratsioon
- ühendus
- kaaluda
- tarbija
- küpsis
- Korporatiivne
- võiks
- cover
- katmine
- looma
- loomine
- volikiri
- Kurjategijad
- kriitiline
- Kelmid
- krüptograafia
- krüptograafia
- Praegune
- Kliendid
- Küberkuritegevus
- Küberturvalisus
- andmed
- päev
- Päeva
- tegelema
- kirjeldus
- kavandatud
- kirjutuslaud
- sihtkoht
- Detection
- kindlaksmääratud
- arendaja
- seade
- DID
- erinev
- digitaalne
- otse
- avastasin
- Ekraan
- do
- dokument
- ei
- Ei tee
- Ära
- alla
- lae alla
- miinus
- dramaatiliselt
- draiverid
- ajal
- iga
- lihtsam
- lihtne
- ökosüsteemi
- Muidu
- krüpteeritud
- lõpp
- Lõpuks-lõpuni
- Inglise
- piisavalt
- sisene
- ettevõte
- õigus
- looma
- Isegi
- KUNAGI
- Iga
- igaüks
- vahetamine
- eksisteerima
- ootama
- teadmised
- selgitus
- Ekspluateeri
- Exploited
- ärakasutamine
- avatud
- asjaolu
- võlts
- arvasin
- lõplik
- esimene
- Määrama
- fikseeritud
- lend
- Järgneb
- eest
- avastatud
- pettusega
- Alates
- tekitama
- saama
- antud
- Go
- läheb
- hea
- Valitsus
- näksima
- olnud
- juhtub
- Raske
- riistvara
- Olema
- võttes
- päised
- pealkiri
- kuulnud
- kõrgus
- siin
- Tulemus
- Augud
- hõljuma
- Kuidas
- Kuidas
- http
- HTTPS
- sajad
- Jaht
- tuvastatud
- Identity
- if
- rakendada
- kaudselt
- in
- Kaasa arvatud
- Indikaator
- inimesed
- esialgne
- sees
- paigaldama
- Näiteks
- selle asemel
- ette nähtud
- suhtlemist
- interaktsioonid
- omavahel seotud
- Internet
- sisse
- uurimine
- seotud
- Irooniline
- Välja antud
- küsimustes
- IT
- ITS
- ise
- teekond
- jpg
- lihtsalt
- hoidma
- Võti
- võtmed
- Teadma
- teatud
- keel
- suur
- viimane
- kiht
- kõige vähem
- Lahkuma
- jätmine
- Led
- lahkus
- Lets
- nagu
- Tõenäoliselt
- nimekiri
- metsaraie
- Logi sisse
- pikaajaline
- Vaata
- otsin
- lünga
- tehtud
- Enamus
- tegema
- TEEB
- malware
- juhtima
- juhitud
- palju
- Varu
- max laiuse
- mai..
- tähendus
- vahendid
- tähendas
- meetmed
- ainult
- Microsoft
- võib
- vermimine
- rohkem
- kõige
- peab
- nimi
- nimelt
- loodus
- Vajadus
- vajav
- vajadustele
- võrk
- võrguliiklus
- võrgustikud
- võrgud ja teenused
- Sellegipoolest
- uudised
- ei
- normaalne
- märkused
- nüüd
- number
- Ilmne
- of
- maha
- pakkumine
- sageli
- on
- kunagi
- ONE
- ones
- Internetis
- ainult
- Operations
- or
- organisatsiooniline
- organisatsioonid
- algselt
- Muu
- muidu
- meie
- välja
- väljavaade
- üle
- enda
- lehekülg
- osa
- osad
- sooritama
- Vastu võetud
- pass
- Parool
- minevik
- Plaaster
- Paikade
- Muster
- Paul
- Inimesed
- isiklik
- Koht
- plaanitud
- Platon
- Platoni andmete intelligentsus
- PlatoData
- usutav
- palun
- võrra
- positsioon
- Postitusi
- potentsiaalselt
- tava
- valmis
- esitada
- ennetada
- varem
- era-
- Private Key
- sond
- Probleem
- probleeme
- protsess
- tootma
- Programm
- Programmeerija
- kaitse
- tõestatud
- avalik
- Avalik pilv
- avaldatud
- Lükkamine
- panema
- kvaliteet
- tsitaat
- pigem
- Jõuab
- lugeja
- tõesti
- saama
- Red
- nimetatud
- regulaarselt
- seotud
- suhteline
- usaldusväärne
- aru
- lugupeetud
- Taotlusi
- nõudma
- nõutav
- Vajab
- suhtes
- Revealed
- tagasikäik
- õige
- kiirustama
- s
- sama
- nägin
- ulatus
- hooaeg
- Teine
- Saladus
- kindlustama
- kindlalt
- turvalisus
- Turvameetmed
- vaata
- tundub
- tundus
- segmentatsioon
- saatma
- saadab
- Saadetud
- eri
- teenus
- Teenused
- istung
- Jaga
- Lühike
- lühiajaline
- peaks
- näitas
- näidates
- külg
- kirjutama
- allkirjastatud
- allkirjastamine
- Märgid
- ühekordne
- site
- nutikas
- nuhkima
- So
- tarkvara
- tahke
- mõned
- Keegi
- Varsti
- rääkimine
- konkreetse
- jagada
- standalone
- standard
- algus
- riik
- varastatud
- Peatus
- torm
- tugevalt
- selline
- soovitama
- Soovitab
- sobiv
- peaks
- kindel
- SVG
- süsteem
- süsteemid
- Võtma
- lugu
- meeskond
- meeskonnad
- tehnikat
- öelda
- ajutine
- kümneid
- test
- kui
- et
- .
- oma
- Neile
- ennast
- SIIS
- teooria
- Seal.
- seetõttu
- Need
- nad
- asjad
- mõtlema
- see
- need
- kuigi?
- tuhandeid
- oht
- kolm
- aeg
- TLS
- et
- sümboolne
- märgid
- ülemine
- Summa
- jälgida
- liiklus
- üleminek
- läbipaistev
- reisima
- proovitud
- vallandas
- tõsi
- püüdma
- Pöörake
- kaks
- tüüpiliselt
- lõpuks
- all
- aluseks
- ainulaadne
- avamine
- kuni
- Värskendused
- Uudised
- peale
- Upside
- URL
- us
- meie valitsus
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutusalad
- kasutamine
- suur
- kaudu
- Ohver
- ohvreid
- tähtis
- Haavatavused
- tahab
- oli
- Tee..
- we
- web
- nädal
- Hästi
- hästi tuntud
- olid
- M
- millal
- mis
- WHO
- miks
- Metsik
- will
- aknad
- WISE
- koos
- ilma
- sõna
- sõnad
- Töö
- töö
- mures
- oleks
- kirjutama
- kirjutada kood
- Vale
- aasta
- veel
- sa
- Sinu
- ise
- sephyrnet