A múlt hét végén a Microsoft közzétett egy jelentést címmel A Storm-0558 technikák elemzése az illetéktelen e-mail-hozzáféréshez.
Ebben a meglehetősen drámai dokumentumban a vállalat biztonsági csapata felfedte egy korábban megmagyarázhatatlan feltörés hátterét, amelynek során adatokhoz, köztük e-mail szövegekhez, mellékletekhez és egyebekhez fértek hozzá:
körülbelül 25 szervezettől, beleértve a kormányzati szerveket és a kapcsolódó fogyasztói fiókokat a nyilvános felhőben.
The bad news, even though only 25 organisations were apparently attacked, is that this cybercrime may nevertheless have affected a large number of individuals, given that some US government bodies employ anywhere from tens to hundreds of thousands of people.
The good news, at least for the vast majority of us who weren’t exposed, is that the tricks and bypasses used in the attack were specific enough that Microsft threat hunters were able to track them down reliably, so the final total of 25 organisations does indeed seem to be a complete hit-list.
Egyszerűen fogalmazva, ha még nem hallott közvetlenül a Microsofttól arról, hogy részese volt ennek a hacknek (a cég nyilvánvalóan nem tette közzé az áldozatok listáját), akkor azt is feltételezheti, hogy tisztán vagy.
Még jobb, ha itt a jobb szó, a támadás a Microsoft háttérműveleteinek két biztonsági hibáján alapult, ami azt jelenti, hogy mindkét biztonsági rést „házon belül” lehetett javítani anélkül, hogy kliensoldali szoftvereket vagy konfigurációs frissítéseket kellett volna kinyomni.
Ez azt jelenti, hogy nincsenek olyan kritikus javítások, amelyeket sietnie kell és telepítenie kell.
A nulladik napok, amelyek nem voltak
Zero-days, as you know, are security holes that the Bad Guys found first and figured out how to exploit, thus leaving no days available during which even the keenest and best-informed security teams could have patched in advance of the attacks.
Technikailag tehát ez a két Storm-0558-as lyuk nulladik napnak tekinthető, mert a szélhámosok szorgalmasan kihasználták a hibákat, mielőtt a Microsoft kezelni tudta volna az érintett sérülékenységeket.
Tekintettel azonban arra, hogy a Microsoft óvatosan kerülte a „nulladik nap” szót a saját lefedettségében, és mivel a lyukak kijavításához nem kellett mindannyiunknak letöltenie a javításokat, látni fogja, hogy a fenti címben úgy hivatkoztunk rájuk félnulla nap, és hagyjuk a leírást.
Mindazonáltal a két egymással összefüggő biztonsági probléma természete ebben az esetben létfontosságú emlékeztető három dologra, nevezetesen arra, hogy:
- Az alkalmazott kriptográfia nehéz.
- A biztonsági szegmentálás nehéz.
- A fenyegetésvadászat nehéz.
A gonosz cselekedetek első jelei azt mutatták, hogy szélhámosok az Outlook Web Accessen (OWA) keresztül, illegálisan megszerzett hitelesítési tokenek segítségével besurrantak az áldozatok Exchange-adataiba.
A hitelesítési token általában egy ideiglenes webes süti, amely minden egyes használt online szolgáltatásra jellemző, és amelyet a szolgáltatás elküld a böngészőjének, miután Ön kielégítően igazolta személyazonosságát.
Ahhoz, hogy személyazonosságát határozottan meg lehessen állapítani a munkamenet elején, előfordulhat, hogy meg kell adnia egy jelszót és egy egyszeri 2FA-kódot, be kell mutatnia egy kriptográfiai „jelszó” eszközt, például Yubikey-t, vagy fel kell oldania és be kell helyeznie egy intelligens kártyát olvasó.
Ezt követően a böngészőjének kiadott hitelesítési cookie rövid távú belépőként működik, így Önnek nem kell újra és újra megadnia jelszavát vagy bemutatnia biztonsági eszközét az oldallal végzett minden egyes interakciónál.
A kezdeti bejelentkezési folyamatot úgy képzelheti el, mint az útlevél bemutatása a légitársaság check-in pultjánál, a hitelesítési token pedig a beszállókártya, amely lehetővé teszi, hogy egy adott járatra bejusson a repülőtérre és felszálljon a gépre.
Sometimes you might be required to reaffirm your identity by showing your passport again, such as just before you get on the plane, but often showing the boarding card alone will be enough for you to establish your “right to be there” as you make your way around the airside parts of the airport.
A valószínű magyarázatok nem mindig helyesek
When crooks start showing up with someone else’s authentication token in the HTTP headers of their web requests, one of the most likely explanations is that the criminals have already implanted malware on the victim’s computer.
Ha a rosszindulatú program célja, hogy az áldozat hálózati forgalmát kémkedje, akkor általában a felhasználásra való előkészítés után, de még a titkosítás és a kiküldés előtt megtekinti a mögöttes adatokat.
Ez azt jelenti, hogy a csalók leskelődnek és ellophatják a létfontosságú privát böngészési adatokat, beleértve a hitelesítési tokeneket is.
Generally speaking, attackers can’t sniff out authentication tokens as they travel across the internet any more, as they commonly could until about 2010. That’s because every reputable online service these days requires that traffic to and from logged-on users must travel via HTTPS, and only via HTTPS, short for biztonságos HTTP.
A HTTPS a TLS-t használja, rövidítése szállítási réteg biztonsága, amely azt teszi, amit a neve is sugall. Minden adat erősen titkosítva van, amikor elhagyja a böngészőt, de még mielőtt a hálózatra kerülne, és nem dekódolják őket, amíg el nem érik a kívánt szervert a másik végén. Ugyanez a végpontok közötti adattitkosító folyamat fordítva megy végbe azon adatok esetében, amelyeket a szerver visszaküld a válaszaiban, még akkor is, ha olyan adatokat próbál lekérni, amelyek nem léteznek, és a kiszolgálónak csak azt kell mondania, hogy csak egy egyszerű adat. 404 Page not found
.
Fortunately, Microsoft threat hunters soon realised that the fraudulent email interactions weren’t down to a problem triggered at the client side of the network connection, an assumption that would have sent the victim organisations off on 25 separate wild goose chases looking for malware that wasn’t there.
A következő legvalószínűbb magyarázat az, amely elméletben könnyebben javítható (mert mindenki számára megoldható egy mozdulattal), de a gyakorlatban riasztóbb az ügyfelek számára, nevezetesen, hogy a csalók valamilyen módon kompromittálták a hitelesítés létrehozásának folyamatát. zsetonok az első helyen.
Ennek egyik módja az lenne, ha feltörik az ezeket létrehozó szervereket, és beültetnek egy hátsó ajtót, amely érvényes tokent állít elő anélkül, hogy először ellenőrizné a felhasználó személyazonosságát.
Egy másik módszer, amit a Microsoft eredetileg a jelek szerint vizsgált, az, hogy a támadók elegendő adatot tudtak ellopni a hitelesítő szerverekről ahhoz, hogy csaló, de érvényesnek tűnő hitelesítési tokeneket generáljanak maguknak.
Ez arra utalt, hogy a támadóknak sikerült ellopniuk az egyik kriptográfiai aláíró kulcsot, amelyet a hitelesítési szerver arra használ, hogy „érvényességi pecsétet” nyomjon az általa kibocsátott tokenekbe, hogy a lehető leglehetetlenebb legyen hamis token létrehozása. ez átmenne.
By using a secure private key to add a digital signature to every access token issued, an authentication server makes it easy for any other server in the ecosystem to check the validity of the tokens that they receive. That way, the authentication server can even work reliably across different networks and services without ever needing to share (and regularly to update) a leakable list of actual, known-good tokens.
Egy hack, aminek nem kellett volna működnie
Microsoft ultimately determined that the rogue access tokens in the Storm-0558 attack were legitimately signed, which seemed to suggest that someone had indeed pinched a company signing key…
…de valójában egyáltalán nem a megfelelő jelzők voltak.
A vállalati fiókokat állítólag a felhőben kell hitelesíteni az Azure Active Directory (AD) tokenekkel, de ezeket a hamis támadási tokeneket az úgynevezett MSA-kulccsal írták alá. Microsoft-fiók, which is apparent the initialism used to refer to standalone consumer accounts rather than AD-based corporate ones.
Lazán szólva, a szélhámosok hamis hitelesítési tokeneket vertek, amelyek átmentek a Microsoft biztonsági ellenőrzésein, de ezeket úgy írták alá, mintha egy személyes Outlook.com-fiókba bejelentkező felhasználó lennének, nem pedig a vállalati fiókba bejelentkező vállalati felhasználók.
Egy szóban, "Mit?!!?!"
Úgy tűnik, a szélhámosok nem tudtak ellopni egy vállalati szintű aláíró kulcsot, csak egy fogyasztói szintűt (ez nem a fogyasztói szintű felhasználók becsmérlése, pusztán egy bölcs kriptográfiai óvintézkedés a két rész felosztására és szétválasztására). ökoszisztéma).
But having pulled off this first semi-zero day, namely acquiring a Microsoft cryptographic secret without being noticed, the crooks apparently found a second semi-zero day by means of which they could pass off an access token signed with a consumer-account key that should have signalled “this key does not belong here” as if it were an Azure AD-signed token instead.
Más szóval, bár a szélhámosok rossz fajta aláíró kulccsal ragadtak az általuk tervezett támadáshoz, mégis megtalálták a módját, hogy megkerüljék azokat az oszd meg és szeparáld biztonsági intézkedéseket, amelyeknek az ellopott kulcsuk működését kellett volna megakadályozniuk.
Még több rossz-jó hír
A Microsoft számára rossz hír, hogy az elmúlt évben nem ez az egyetlen alkalom, amikor a cégnél hiányosnak találták az aláírási kulcsbiztonságot.
A legújabb javítás keddValójában azt tapasztalta, hogy a Microsoft késve kínál blokklistás védelmet egy csomó gaz, rosszindulatú programokkal fertőzött Windows kernel-illesztőprogram ellen, amelyeket Redmond maga írt alá a Windows Hardverfejlesztői Programjának égisze alatt.
A jó hír az, hogy mivel a csalók vállalati stílusú, fogyasztói típusú kriptográfiai kulccsal aláírt hozzáférési tokeneket használtak, a csaló hitelesítési hitelesítő adataikat megbízhatóan lehetett fenyegetni, ha a Microsoft biztonsági csapata tudta, mit kell keresnie.
A zsargonban gazdag nyelvezetben a Microsoft megjegyzi, hogy:
A kérések aláírásához helytelen kulcs használata lehetővé tette nyomozócsoportjaink számára, hogy láthassák az összes szereplő hozzáférési kérelmét, amelyek ezt a mintát követték mind vállalati, mind fogyasztói rendszereinkben.
A helytelen kulcs használata az állítások körének aláírására nyilvánvalóan jelezte a szereplő tevékenységét, mivel egyetlen Microsoft rendszer sem ír alá tokeneket ilyen módon.
Egyszerűbben fogalmazva, annak a ténynek a hátránya, hogy a Microsoftnál erről senki sem tudott előre (így megakadályozva a proaktív foltozást), ironikus módon ahhoz vezetett, hogy a Microsoftnál soha senki nem próbált meg olyan kódot írni, hogy így működjön. .
Ez pedig azt jelentette, hogy a szélhámos viselkedés ebben a támadásban megbízható, egyedi IoC-ként, ill. a kompromisszum mutatója.
Feltételezzük, hogy ez az oka annak, hogy a Microsoft most már magabiztosan kijelenti, hogy minden olyan esetet felkutatott, amikor ezeket a kettős, félig nulla napos lyukakat kihasználták, és így az érintett ügyfelek 25 fős listája kimerítő.
Mit kell tenni?
Ha a Microsoft nem kereste meg ezzel kapcsolatban, akkor úgy gondoljuk, biztos lehet benne, hogy nem érintett.
És mivel a biztonsági megoldásokat a Microsoft saját felhőszolgáltatásán belül alkalmazták (nevezetesen a lopott MSA-aláíró kulcsok visszautasítása és a kiskapu bezárása, lehetővé téve a „rossz típusú kulcsok” használatát a vállalati hitelesítéshez), nem kell tülekednie saját maga telepítse a javításokat.
Ha azonban Ön programozó, minőségbiztosítási szakember, piros/kék csapatmunkás, vagy más módon informatikával foglalkozik, kérjük, emlékeztesse magát a cikk elején megfogalmazott három pontra:
- Az alkalmazott kriptográfia nehéz. Nem csak a megfelelő algoritmusokat kell kiválasztania, hanem biztonságosan megvalósítania. Ezenkívül helyesen kell használnia őket, és megfelelő hosszú távú gondozással kell kezelnie minden olyan kriptográfiai kulcsot, amelyre a rendszer támaszkodik.
- A biztonsági szegmentálás nehéz. Even when you think you’ve split a complex part of your ecosystem into two or more parts, as Microsoft did here, you need to make sure that the separation really does work as you expect. Probe and test the security of the separation yourself, because if you don’t test it, the crooks certainly will.
- A fenyegetésvadászat nehéz. Az első és legnyilvánvalóbb magyarázat nem mindig a helyes, vagy nem az egyetlen. Ne hagyja abba a vadászatot, amikor megvan az első elfogadható magyarázat. Folytasd mindaddig, amíg nem csak az aktuális támadásban használt tényleges kizsákmányolásokat azonosítod, hanem a lehető legtöbb egyéb potenciálisan kapcsolódó okot is fel nem fedezed, így proaktívan javíthatod őket.
To quote a well-known phrase (and the fact that it’s true means we aren’t worried about it being s cliche): A kiberbiztonság utazás, nem cél.
Short of time or expertise to take care of cybersecurity threat hunting? Worried that cybersecurity will end up distracting you from all the other things you need to do?
Tudjon meg többet Sophos felügyelt észlelés és válasz:
24 órás fenyegetésvadászat, észlelés és reagálás ▶
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :van
- :is
- :nem
- :ahol
- $ UP
- 1
- 15%
- 25
- 2FA
- a
- Képes
- Rólunk
- erről
- felett
- Abszolút
- hozzáférés
- igénybe vett
- Fiók
- Fiókok
- szerzett
- megszerzése
- át
- aktív
- Active Directory
- tevékenység
- cselekmények
- tényleges
- tulajdonképpen
- Ad
- hozzá
- előre
- Után
- újra
- ellen
- ügynökségek
- légitársaság
- repülőtér
- algoritmusok
- Minden termék
- megengedett
- lehetővé téve
- kizárólag
- már
- Is
- mindig
- an
- és a
- bármilyen
- bárki
- bárhol
- látszólagos
- alkalmazott
- körülbelül
- VANNAK
- körül
- cikkben
- AS
- feltételezni
- feltevés
- biztosíték
- At
- támadás
- Támadások
- hitelesített
- Hitelesítés
- szerző
- auto
- elérhető
- kerülendő
- Égszínkék
- vissza
- Back-end
- hátsó ajtó
- háttér
- background-image
- Rossz
- BE
- mert
- óta
- előtt
- hogy
- Jobb
- beszállás
- testületek
- határ
- mindkét
- Alsó
- böngésző
- Legelészés
- bogarak
- Csokor
- de
- by
- TUD
- kártya
- ami
- gondosan
- eset
- okai
- Központ
- biztosan
- ellenőrizze
- ellenőrzése
- Ellenőrzések
- A pop-art design, négy időzóna kijelzése egyszerre és méretének arányai azok az érvek, amelyek a NeXtime Time Zones-t kiváló választássá teszik. Válassza a
- világos
- vásárló
- záró
- felhő
- kód
- szín
- COM
- általában
- vállalat
- Társaságé
- teljes
- bonyolult
- Veszélyeztetett
- számítógép
- magabiztos
- Configuration
- kapcsolat
- figyelembe vett
- fogyasztó
- aprósütemény
- Társasági
- tudott
- terjed
- lefedettség
- teremt
- létrehozása
- Hitelesítő adatok
- bűnözők
- kritikai
- Crooks
- kriptográfiai
- kriptográfia
- Jelenlegi
- Ügyfelek
- a számítógépes bűnözés
- Kiberbiztonság
- dátum
- nap
- Nap
- üzlet
- leírás
- tervezett
- íróasztal
- rendeltetési hely
- Érzékelés
- eltökélt
- Fejlesztő
- eszköz
- DID
- különböző
- digitális
- közvetlenül
- felfedezett
- kijelző
- do
- dokumentum
- nem
- Nem
- ne
- le-
- letöltés
- hátránya
- drámaian
- illesztőprogramok
- alatt
- minden
- könnyebb
- könnyű
- ökoszisztéma
- Egyéb
- titkosított
- végén
- végtől végig
- Angol
- elég
- belép
- Vállalkozás
- Jogosult
- létrehozni
- Még
- EVER
- Minden
- mindenki
- csere
- létezik
- vár
- szakvélemény
- magyarázat
- Exploit
- Hasznosított
- hasznosítja
- kitett
- tény
- hamisítvány
- mintás
- utolsó
- vezetéknév
- Rögzít
- rögzített
- repülés
- követ
- A
- talált
- csaló
- ból ből
- generál
- kap
- adott
- Go
- megy
- jó
- Kormány
- csapkod
- kellett
- megtörténik
- Kemény
- hardver
- Legyen
- tekintettel
- fejlécek
- headline
- hallott
- magasság
- itt
- Találat
- Holes
- lebeg
- Hogyan
- How To
- http
- HTTPS
- Több száz
- Vadászat
- azonosított
- Identitás
- if
- végre
- hallgatólagos
- in
- Beleértve
- Mutató
- egyének
- kezdetben
- belső
- telepíteni
- példa
- helyette
- szándékolt
- kölcsönhatás
- kölcsönhatások
- összekapcsolt
- Internet
- bele
- vizsgálat
- részt
- Ironikusan
- Kiadott
- kérdések
- IT
- ITS
- maga
- utazás
- jpg
- éppen
- Tart
- Kulcs
- kulcsok
- Ismer
- ismert
- nyelv
- nagy
- keresztnév
- réteg
- legkevésbé
- Szabadság
- kilépő
- Led
- balra
- Lets
- mint
- Valószínű
- Lista
- fakitermelés
- Belépés
- hosszú lejáratú
- néz
- keres
- lőrés
- készült
- Többség
- csinál
- KÉSZÍT
- malware
- kezelése
- sikerült
- sok
- Margó
- max-width
- Lehet..
- jelenti
- eszközök
- jelentett
- intézkedések
- csupán
- microsoft
- esetleg
- verése
- több
- a legtöbb
- kell
- név
- ugyanis
- Természet
- Szükség
- igénylő
- igények
- hálózat
- hálózati forgalom
- hálózatok
- hálózatok és szolgáltatások
- Mindazonáltal
- hír
- nem
- normális
- Megjegyzések
- Most
- szám
- Nyilvánvaló
- of
- kedvezmény
- felajánlás
- gyakran
- on
- egyszer
- ONE
- azok
- online
- csak
- Művelet
- or
- szervezetek
- szervezetek
- eredetileg
- Más
- másképp
- mi
- ki
- Outlook
- felett
- saját
- oldal
- rész
- alkatrészek
- elhalad
- Elmúlt
- útlevél
- Jelszó
- múlt
- Tapasz
- Patches
- Mintás
- Paul
- Emberek (People)
- személyes
- Hely
- tervezett
- Plató
- Platón adatintelligencia
- PlatoData
- valószínű
- kérem
- pont
- pozíció
- Hozzászólások
- potenciálisan
- gyakorlat
- előkészített
- be
- megakadályozása
- korábban
- magán
- magánkulcs
- szonda
- Probléma
- problémák
- folyamat
- gyárt
- Program
- Programozó
- védelem
- bizonyított
- nyilvános
- Nyilvános felhő
- közzétett
- Toló
- tesz
- világítás
- idézet
- Inkább
- Elér
- Olvasó
- tényleg
- kap
- Piros
- említett
- rendszeresen
- összefüggő
- relatív
- megbízható
- jelentést
- jó hírű
- kéri
- szükség
- kötelező
- megköveteli,
- tisztelet
- Revealed
- fordított
- jobb
- rohanás
- s
- azonos
- látta
- hatálya
- Évad
- Második
- Titkos
- biztonság
- biztosan
- biztonság
- Biztonsági intézkedések
- lát
- látszik
- Úgy tűnt
- szegmentáció
- küld
- küld
- küldött
- különálló
- szolgáltatás
- Szolgáltatások
- ülés
- Megosztás
- rövid
- rövid időszak
- kellene
- kimutatta,
- mutató
- oldal
- <p></p>
- aláírt
- aláírás
- Jelek
- egyetlen
- weboldal
- okos
- szaglász
- So
- szoftver
- szilárd
- néhány
- Valaki
- Nemsokára
- beszélő
- különleges
- osztott
- önálló
- standard
- kezdet
- Állami
- lopott
- megáll
- vihar
- erősen
- ilyen
- javasol
- javasolja,
- megfelelő
- feltételezett
- biztos
- SVG
- rendszer
- Systems
- Vesz
- mese
- csapat
- csapat
- technikák
- mondd
- ideiglenes
- tíz
- teszt
- mint
- hogy
- A
- azok
- Őket
- maguk
- akkor
- elmélet
- Ott.
- ebből adódóan
- Ezek
- ők
- dolgok
- Szerintem
- ezt
- azok
- bár?
- ezer
- fenyegetés
- három
- idő
- TLS
- nak nek
- jelképes
- tokenek
- felső
- Végösszeg
- vágány
- forgalom
- átmenet
- átlátszó
- utazás
- kipróbált
- váltott
- igaz
- megpróbál
- FORDULAT
- kettő
- jellemzően
- Végül
- alatt
- mögöttes
- egyedi
- kinyit
- -ig
- Frissítések
- Frissítés
- upon
- fejjel
- URL
- us
- minket kormány
- használ
- használt
- használó
- Felhasználók
- használ
- segítségével
- Hatalmas
- keresztül
- Áldozat
- áldozatok
- fontos
- sérülékenységek
- hiányzó
- volt
- Út..
- we
- háló
- hét
- JÓL
- jól ismert
- voltak
- Mit
- amikor
- ami
- WHO
- miért
- Vadon
- lesz
- ablakok
- BÖLCS
- val vel
- nélkül
- szó
- szavak
- Munka
- dolgozó
- aggódik
- lenne
- ír
- kódot írni
- Rossz
- év
- még
- te
- A te
- magad
- zephyrnet