Pada akhir pekan lalu, Microsoft menerbitkan laporan berjudul Analisis teknik Storm-0558 untuk akses email tidak sah.
Dalam dokumen yang agak dramatis ini, tim keamanan perusahaan mengungkapkan latar belakang peretasan yang sebelumnya tidak dapat dijelaskan di mana data termasuk teks email, lampiran, dan lainnya diakses:
dari sekitar 25 organisasi, termasuk lembaga pemerintah dan akun konsumen terkait di cloud publik.
Kabar buruknya, meskipun hanya 25 organisasi yang diserang, kejahatan dunia maya ini mungkin telah berdampak pada banyak orang, mengingat beberapa lembaga pemerintah AS mempekerjakan puluhan hingga ratusan ribu orang.
Kabar baiknya, setidaknya bagi sebagian besar dari kita yang belum terpapar, adalah bahwa trik dan jalan pintas yang digunakan dalam serangan tersebut cukup spesifik sehingga pemburu ancaman Microsft dapat melacaknya dengan andal, sehingga total keseluruhannya adalah 25 organisasi. tampaknya memang merupakan daftar sasaran yang lengkap.
Sederhananya, jika Anda belum pernah mendengar langsung dari Microsoft tentang menjadi bagian dari peretasan ini (perusahaan jelas belum menerbitkan daftar korban), maka Anda sebaiknya menganggap Anda sudah jelas.
Lebih baik lagi, jika lebih baik adalah kata yang tepat di sini, serangan itu bergantung pada dua kegagalan keamanan dalam operasi back-end Microsoft, yang berarti bahwa kedua kerentanan dapat diperbaiki "di rumah", tanpa mengeluarkan perangkat lunak sisi klien atau pembaruan konfigurasi.
Itu berarti tidak ada tambalan penting yang perlu Anda keluarkan dan instal sendiri.
Nol-hari yang tidak
Zero-day, seperti yang Anda tahu, adalah lubang keamanan yang pertama kali ditemukan oleh Orang-Orang Jahat dan menemukan cara untuk mengeksploitasinya, sehingga tidak ada hari yang tersedia bahkan bagi tim keamanan yang paling tajam dan paling berpengetahuan sekalipun untuk dapat melakukan perbaikan sebelum serangan terjadi.
Oleh karena itu, secara teknis, kedua lubang Storm-0558 ini dapat dianggap sebagai zero-days, karena para penjahat sibuk mengeksploitasi bug sebelum Microsoft dapat menangani kerentanan yang terlibat.
Namun, mengingat bahwa Microsoft dengan hati-hati menghindari kata "zero-day" dalam liputannya sendiri, dan mengingat bahwa memperbaiki lubang tidak mengharuskan kami semua mengunduh tambalan, Anda akan melihat bahwa kami merujuknya di tajuk utama di atas sebagai setengah nol hari, dan kami akan meninggalkan deskripsi di situ.
Namun demikian, sifat dari dua masalah keamanan yang saling berhubungan dalam hal ini merupakan pengingat penting dari tiga hal, yaitu:
- Kriptografi terapan itu sulit.
- Segmentasi keamanan itu sulit.
- Perburuan ancaman itu sulit.
Tanda-tanda pertama kejahatan menunjukkan penjahat menyelinap ke data Exchange korban melalui Outlook Web Access (OWA), menggunakan token otentikasi yang diperoleh secara ilegal.
Biasanya, token autentikasi adalah cookie web sementara, khusus untuk setiap layanan online yang Anda gunakan, yang dikirimkan oleh layanan tersebut ke browser Anda setelah Anda membuktikan identitas Anda dengan standar yang memuaskan.
Untuk menetapkan identitas Anda dengan kuat di awal sesi, Anda mungkin perlu memasukkan kata sandi dan kode 2FA satu kali, untuk menunjukkan perangkat “kunci sandi” kriptografis seperti Yubikey, atau untuk membuka kunci dan memasukkan kartu pintar ke dalam pembaca.
Setelah itu, cookie autentikasi yang dikeluarkan ke browser Anda bertindak sebagai izin jangka pendek sehingga Anda tidak perlu memasukkan kata sandi, atau menampilkan perangkat keamanan Anda, berulang kali untuk setiap interaksi yang Anda lakukan dengan situs.
Anda dapat membayangkan proses login awal seperti menunjukkan paspor Anda di meja check-in maskapai penerbangan, dan token autentikasi sebagai kartu boarding yang memungkinkan Anda masuk ke bandara dan naik ke pesawat untuk satu penerbangan tertentu.
Kadang-kadang Anda mungkin diminta untuk menegaskan kembali identitas Anda dengan menunjukkan paspor Anda lagi, seperti sebelum Anda naik pesawat, namun seringkali menunjukkan kartu boarding saja sudah cukup bagi Anda untuk menetapkan “hak untuk berada di sana” saat Anda melakukan perjalanan. jalan di sekitar bagian sisi udara bandara.
Kemungkinan penjelasan tidak selalu benar
Ketika penjahat mulai muncul dengan token otentikasi orang lain di header HTTP permintaan web mereka, salah satu penjelasan yang paling mungkin adalah bahwa penjahat telah menanamkan malware di komputer korban.
Jika malware itu dirancang untuk memata-matai lalu lintas jaringan korban, biasanya ia akan melihat data yang mendasarinya setelah disiapkan untuk digunakan, tetapi sebelum dienkripsi dan dikirim.
Itu berarti penjahat dapat mengintai dan mencuri data penjelajahan pribadi yang penting, termasuk token otentikasi.
Secara umum, penyerang tidak dapat lagi mengendus token autentikasi saat mereka melakukan perjalanan melintasi internet, seperti yang biasa mereka lakukan hingga sekitar tahun 2010. Hal ini karena setiap layanan online terkemuka saat ini mengharuskan lalu lintas ke dan dari pengguna yang masuk harus melakukan perjalanan melalui HTTPS. , dan hanya melalui HTTPS, kependekan dari HTTP aman.
HTTPS menggunakan TLS, kependekan dari keamanan lapisan transport, yang melakukan apa namanya. Semua data dienkripsi dengan kuat saat meninggalkan browser Anda tetapi sebelum masuk ke jaringan, dan tidak didekripsi hingga mencapai server yang dituju di ujung yang lain. Proses pengacakan data end-to-end yang sama terjadi secara terbalik untuk data yang dikirim kembali oleh server dalam balasannya, bahkan jika Anda mencoba mengambil data yang tidak ada dan semua yang perlu diberitahukan oleh server kepada Anda adalah ala kadarnya. 404 Page not found
.
Untungnya, para pemburu ancaman Microsoft segera menyadari bahwa interaksi email palsu tersebut tidak disebabkan oleh masalah yang dipicu di sisi klien dari koneksi jaringan, sebuah asumsi yang akan membuat organisasi korban melakukan 25 kejar-kejaran terpisah untuk mencari malware yang sebenarnya tidak ada. tidak di sana.
Penjelasan berikutnya yang paling mungkin adalah yang secara teori lebih mudah untuk diperbaiki (karena dapat diperbaiki untuk semua orang sekaligus), tetapi dalam praktiknya lebih mengkhawatirkan bagi pelanggan, yaitu bahwa para penjahat entah bagaimana telah membahayakan proses pembuatan otentikasi. token di tempat pertama.
Salah satu cara untuk melakukan ini adalah meretas server yang membuatnya dan menanamkan pintu belakang untuk menghasilkan token yang valid tanpa memeriksa identitas pengguna terlebih dahulu.
Cara lain, yang tampaknya awalnya diselidiki oleh Microsoft, adalah bahwa penyerang dapat mencuri cukup data dari server autentikasi untuk menghasilkan token autentikasi palsu tetapi terlihat valid untuk diri mereka sendiri.
Ini menyiratkan bahwa penyerang telah berhasil mencuri salah satu kunci penandatanganan kriptografi yang digunakan server autentikasi untuk mencap "segel validitas" ke dalam token yang dikeluarkannya, untuk membuatnya sebaik mungkin bagi siapa pun untuk membuat token palsu. yang akan lulus mengumpulkan.
Dengan menggunakan kunci pribadi yang aman untuk menambahkan tanda tangan digital ke setiap token akses yang dikeluarkan, server autentikasi memudahkan server lain di ekosistem untuk memeriksa validitas token yang mereka terima. Dengan begitu, server autentikasi bahkan dapat bekerja dengan andal di berbagai jaringan dan layanan tanpa perlu membagikan (dan memperbarui secara berkala) daftar token aktual dan terkenal yang dapat bocor.
Peretasan yang seharusnya tidak berhasil
Microsoft akhirnya menetapkan bahwa token akses jahat dalam serangan Storm-0558 ditandatangani secara sah, yang tampaknya menunjukkan bahwa seseorang memang telah mencubit kunci penandatanganan perusahaan…
… tapi mereka sebenarnya bukan token yang tepat sama sekali.
Akun perusahaan seharusnya diautentikasi di cloud menggunakan token Azure Active Directory (AD), tetapi token serangan palsu ini ditandatangani dengan apa yang dikenal sebagai kunci MSA, kependekan dari akun Microsoft, yang terlihat jelas bahwa inisialisme digunakan untuk merujuk pada akun konsumen yang berdiri sendiri dan bukan akun korporat berbasis AD.
Singkatnya, para penjahat mencetak token autentikasi palsu yang lulus pemeriksaan keamanan Microsoft, namun token tersebut ditandatangani seolah-olah untuk pengguna yang masuk ke akun Outlook.com pribadi, bukan untuk pengguna korporat yang masuk ke akun perusahaan.
Dalam satu kata, "Apa?!!?!"
Rupanya, para penjahat tidak dapat mencuri kunci penandatanganan tingkat perusahaan, hanya kunci tingkat konsumen (itu bukan meremehkan pengguna tingkat konsumen, hanya tindakan pencegahan kriptografi yang bijaksana untuk membagi-dan-memisahkan dua bagian dari ekosistem).
Namun setelah melakukan semi-zero day pertama ini, yaitu memperoleh rahasia kriptografi Microsoft tanpa diketahui, para penjahat rupanya menemukan semi-zero day kedua yang dengannya mereka dapat memberikan token akses yang ditandatangani dengan kunci akun konsumen yang seharusnya memberi isyarat “kunci ini tidak termasuk di sini” seolah-olah itu adalah token yang ditandatangani oleh Azure Active Directory.
Dengan kata lain, meskipun para penjahat terjebak dengan kunci penandatanganan yang salah untuk serangan yang telah mereka rencanakan, mereka tetap menemukan cara untuk melewati langkah-langkah keamanan yang memisahkan dan memisahkan yang seharusnya menghentikan kunci mereka yang dicuri agar tidak berfungsi.
Lebih banyak berita buruk dan baik
Kabar buruk bagi Microsoft adalah bahwa ini bukan satu-satunya saat perusahaan ditemukan ingin menandatangani keamanan kunci dalam setahun terakhir.
Grafik Patch Selasa terbaru, memang, melihat Microsoft terlambat menawarkan perlindungan daftar blokir terhadap sekelompok driver kernel Windows nakal yang terinfeksi malware yang telah ditandatangani oleh Redmond sendiri di bawah naungan Program Pengembang Perangkat Keras Windows-nya.
Kabar baiknya adalah, karena penjahat menggunakan token akses gaya perusahaan yang ditandatangani dengan kunci kriptografi gaya konsumen, kredensial autentikasi jahat mereka dapat diburu dengan andal setelah tim keamanan Microsoft mengetahui apa yang harus dicari.
Dalam bahasa kaya jargon, Microsoft mencatat bahwa:
Penggunaan kunci yang salah untuk menandatangani permintaan memungkinkan tim investigasi kami melihat semua permintaan akses aktor yang mengikuti pola ini di sistem perusahaan dan konsumen kami.
Penggunaan kunci yang salah untuk menandatangani ruang lingkup pernyataan ini merupakan indikator yang jelas dari aktivitas aktor karena tidak ada sistem Microsoft yang menandatangani token dengan cara ini.
Dalam bahasa Inggris yang lebih sederhana, sisi negatif dari fakta bahwa tidak ada seorang pun di Microsoft yang mengetahui hal ini sebelumnya (sehingga mencegahnya ditambal secara proaktif), ironisnya, mengarah ke sisi positif bahwa tidak ada seorang pun di Microsoft yang pernah mencoba menulis kode untuk bekerja seperti itu. .
Dan itu, pada gilirannya, berarti bahwa perilaku nakal dalam serangan ini dapat digunakan sebagai IoC yang andal dan unik, atau indikator kompromi.
Itu, kami berasumsi, itulah mengapa Microsoft sekarang merasa percaya diri untuk menyatakan bahwa mereka telah melacak setiap contoh di mana lubang dua hari semi-nol ini dieksploitasi, dan dengan demikian daftar 25 pelanggan yang terpengaruh adalah daftar yang lengkap.
Apa yang harus dilakukan?
Jika Anda belum dihubungi oleh Microsoft tentang hal ini, kami pikir Anda dapat yakin bahwa Anda tidak terpengaruh.
Dan karena solusi keamanan telah diterapkan di dalam layanan cloud Microsoft sendiri (yaitu, menolak kunci penandatanganan MSA yang dicuri dan menutup celah yang memungkinkan "jenis kunci yang salah" digunakan untuk autentikasi perusahaan), Anda tidak perlu berebut untuk instal sendiri tambalan apa pun.
Namun, jika Anda seorang programmer, praktisi penjaminan mutu, tim merah/tim biru, atau terlibat dalam TI, harap ingatkan diri Anda tentang tiga poin yang kami buat di bagian atas artikel ini:
- Kriptografi terapan itu sulit. Anda tidak hanya perlu memilih algoritme yang tepat, dan menerapkannya dengan aman. Anda juga harus menggunakannya dengan benar, dan mengelola kunci kriptografi apa pun yang diandalkan sistem dengan perawatan jangka panjang yang sesuai.
- Segmentasi keamanan itu sulit. Meskipun Anda merasa telah membagi bagian kompleks ekosistem menjadi dua bagian atau lebih, seperti yang dilakukan Microsoft di sini, Anda perlu memastikan bahwa pemisahan tersebut benar-benar berfungsi sesuai harapan. Selidiki dan uji sendiri keamanan pemisahan tersebut, karena jika Anda tidak mengujinya, penjahat pasti akan melakukannya.
- Perburuan ancaman itu sulit. Penjelasan pertama dan paling jelas tidak selalu benar, atau mungkin bukan satu-satunya. Jangan berhenti berburu ketika Anda memiliki penjelasan pertama yang masuk akal. Teruskan sampai Anda tidak hanya mengidentifikasi eksploit sebenarnya yang digunakan dalam serangan saat ini, tetapi juga menemukan sebanyak mungkin penyebab terkait lainnya, sehingga Anda dapat menambalnya secara proaktif.
Mengutip ungkapan terkenal (dan fakta bahwa itu benar berarti kita tidak khawatir jika itu menjadi klise): Keamanan siber adalah sebuah perjalanan, bukan tujuan.
Kurangnya waktu atau keahlian untuk menangani perburuan ancaman keamanan siber? Khawatir keamanan siber akan mengganggu Anda dari semua hal lain yang perlu Anda lakukan?
Pelajari lebih lanjut tentang Deteksi dan Respons Terkelola Sophos:
Perburuan, deteksi, dan respons ancaman 24/7 ▶
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 1
- 15%
- 25
- 2FA
- a
- Sanggup
- Tentang Kami
- tentang itu
- atas
- Mutlak
- mengakses
- diakses
- Akun
- Akun
- diperoleh
- mengakuisisi
- di seluruh
- aktif
- Active Directory
- kegiatan
- tindakan
- sebenarnya
- sebenarnya
- Ad
- menambahkan
- memajukan
- Setelah
- lagi
- terhadap
- lembaga
- perusahaan penerbangan
- bandara
- algoritma
- Semua
- diizinkan
- Membiarkan
- sendirian
- sudah
- juga
- selalu
- an
- dan
- Apa pun
- siapapun
- di manapun
- semu
- terapan
- sekitar
- ADALAH
- sekitar
- artikel
- AS
- menganggap
- anggapan
- jaminan
- At
- menyerang
- Serangan
- dikonfirmasi
- Otentikasi
- penulis
- mobil
- tersedia
- dihindari
- Biru langit
- kembali
- Back-end
- pintu belakang
- latar belakang
- background-image
- Buruk
- BE
- karena
- menjadi
- sebelum
- makhluk
- Lebih baik
- asrama
- tubuh
- batas
- kedua
- Bawah
- Browser
- Browsing
- bug
- ikat
- tapi
- by
- CAN
- kartu
- yang
- hati-hati
- kasus
- penyebab
- pusat
- Pasti
- memeriksa
- memeriksa
- Cek
- Pilih
- jelas
- klien
- penutupan
- awan
- kode
- warna
- COM
- umum
- perusahaan
- Perusahaan
- lengkap
- kompleks
- Dikompromikan
- komputer
- yakin
- konfigurasi
- koneksi
- dianggap
- konsumen
- kue
- Timeline
- bisa
- menutupi
- liputan
- membuat
- membuat
- Surat kepercayaan
- Penjahat
- kritis
- Crooks
- kriptografi
- kriptografi
- terbaru
- pelanggan
- cybercrime
- Keamanan cyber
- data
- hari
- Hari
- transaksi
- deskripsi
- dirancang
- meja tulis
- tujuan
- Deteksi
- ditentukan
- Pengembang
- alat
- MELAKUKAN
- berbeda
- digital
- langsung
- ditemukan
- Display
- do
- dokumen
- tidak
- Tidak
- Dont
- turun
- Download
- Kelemahan
- dramatis
- driver
- selama
- setiap
- mudah
- Mudah
- ekosistem
- milik orang lain
- terenkripsi
- akhir
- ujung ke ujung
- Inggris
- cukup
- Enter
- Enterprise
- berhak
- menetapkan
- Bahkan
- pERNAH
- Setiap
- semua orang
- Pasar Valas
- ada
- mengharapkan
- keahlian
- penjelasan
- Mengeksploitasi
- dieksploitasi
- eksploitasi
- terkena
- fakta
- gadungan
- pikir
- terakhir
- Pertama
- Memperbaiki
- tetap
- penerbangan
- diikuti
- Untuk
- ditemukan
- curang
- dari
- menghasilkan
- mendapatkan
- diberikan
- Go
- akan
- baik
- Pemerintah
- terjangan
- memiliki
- Terjadi
- Sulit
- Perangkat keras
- Memiliki
- memiliki
- header
- membintangi
- mendengar
- tinggi
- di sini
- Memukul
- Lubang
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- http
- HTTPS
- Ratusan
- Pemburuan
- diidentifikasi
- identitas
- if
- melaksanakan
- tersirat
- in
- Termasuk
- Indikator
- individu
- mulanya
- dalam
- install
- contoh
- sebagai gantinya
- dimaksudkan
- interaksi
- interaksi
- saling berhubungan
- Internet
- ke
- investigasi
- terlibat
- Ironisnya
- Ditempatkan
- masalah
- IT
- NYA
- Diri
- perjalanan
- jpg
- hanya
- Menjaga
- kunci
- kunci-kunci
- Tahu
- dikenal
- bahasa
- besar
- Terakhir
- lapisan
- paling sedikit
- Meninggalkan
- meninggalkan
- Dipimpin
- meninggalkan
- Lets
- 'like'
- Mungkin
- Daftar
- penebangan
- masuk
- jangka panjang
- melihat
- mencari
- jalan keluar
- terbuat
- Mayoritas
- membuat
- MEMBUAT
- malware
- mengelola
- berhasil
- banyak
- Margin
- max-width
- Mungkin..
- makna
- cara
- berarti
- ukuran
- hanya
- Microsoft
- mungkin
- pencetakan
- lebih
- paling
- harus
- nama
- yaitu
- Alam
- Perlu
- membutuhkan
- kebutuhan
- jaringan
- lalu lintas jaringan
- jaringan
- jaringan dan layanan
- Namun
- berita
- tidak
- normal
- Catatan
- sekarang
- jumlah
- Jelas
- of
- lepas
- menawarkan
- sering
- on
- sekali
- ONE
- yang
- secara online
- hanya
- Operasi
- or
- Organisasi
- organisasi
- semula
- Lainnya
- jika tidak
- kami
- di luar
- Outlook
- lebih
- sendiri
- halaman
- bagian
- bagian
- lulus
- Lulus
- paspor
- Kata Sandi
- lalu
- tambalan
- Patch
- pola
- paul
- Konsultan Ahli
- pribadi
- Tempat
- berencana
- plato
- Kecerdasan Data Plato
- Data Plato
- masuk akal
- silahkan
- poin
- posisi
- Posts
- berpotensi
- praktek
- siap
- menyajikan
- mencegah
- sebelumnya
- swasta
- Key pribadi
- penyelidikan
- Masalah
- masalah
- proses
- menghasilkan
- program
- Programmer
- perlindungan
- terbukti
- publik
- Awan publik
- diterbitkan
- Mendorong
- menempatkan
- kualitas
- mengutip
- agak
- Mencapai
- Pembaca
- benar-benar
- menerima
- Merah
- disebut
- secara teratur
- terkait
- relatif
- dapat diandalkan
- melaporkan
- terkemuka
- permintaan
- membutuhkan
- wajib
- membutuhkan
- menghormati
- Terungkap
- membalikkan
- benar
- buru-buru
- s
- sama
- melihat
- cakupan
- Musim
- Kedua
- Rahasia
- aman
- aman
- keamanan
- Pengamanan
- melihat
- terlihat
- tampak
- segmentasi
- mengirim
- mengirimkan
- mengirim
- terpisah
- layanan
- Layanan
- Sidang
- Share
- Pendek
- jangka pendek
- harus
- menunjukkan
- menunjukkan
- sisi
- menandatangani
- tertanda
- penandatanganan
- Tanda
- tunggal
- situs web
- pintar
- mengintip
- So
- Perangkat lunak
- padat
- beberapa
- Seseorang
- Segera
- berbicara
- tertentu
- membagi
- standalone
- standar
- awal
- Negara
- dicuri
- berhenti
- badai
- sangat
- seperti itu
- menyarankan
- Menyarankan
- cocok
- Seharusnya
- yakin
- SVG
- sistem
- sistem
- Mengambil
- kisah
- tim
- tim
- teknik
- mengatakan
- sementara
- memiliki
- uji
- dari
- bahwa
- Grafik
- mereka
- Mereka
- diri
- kemudian
- teori
- Sana.
- karena itu
- Ini
- mereka
- hal
- berpikir
- ini
- itu
- meskipun?
- ribuan
- ancaman
- tiga
- waktu
- TLS
- untuk
- token
- Token
- puncak
- Total
- jalur
- lalu lintas
- transisi
- jelas
- perjalanan
- mencoba
- dipicu
- benar
- mencoba
- MENGHIDUPKAN
- dua
- khas
- Akhirnya
- bawah
- pokok
- unik
- membuka kunci
- sampai
- Memperbarui
- Pembaruan
- atas
- upside
- URL
- us
- pemerintah kita
- menggunakan
- bekas
- Pengguna
- Pengguna
- kegunaan
- menggunakan
- Luas
- melalui
- Korban
- korban
- vital
- Kerentanan
- menginginkan
- adalah
- Cara..
- we
- jaringan
- minggu
- BAIK
- terkenal
- adalah
- Apa
- ketika
- yang
- SIAPA
- mengapa
- Liar
- akan
- Windows
- BIJAKSANA
- dengan
- tanpa
- Word
- kata
- Kerja
- kerja
- cemas
- akan
- menulis
- tulis kode
- Salah
- tahun
- namun
- kamu
- Anda
- diri
- zephyrnet.dll