지난 주 말에 Microsoft는 다음과 같은 제목의 보고서를 발표했습니다. 무단 이메일 액세스에 대한 Storm-0558 기술 분석.
다소 극적인 이 문서에서 회사의 보안 팀은 이메일 텍스트, 첨부 파일 등을 포함한 데이터에 액세스하는 이전에 설명되지 않은 해킹의 배경을 밝혔습니다.
퍼블릭 클라우드의 정부 기관 및 관련 소비자 계정을 포함하여 약 25개 조직에서
나쁜 소식은 비록 25개의 조직만이 공격을 받았음에도 불구하고 일부 미국 정부 기관이 수만에서 수십만 명을 고용하고 있다는 점을 고려할 때 이 사이버 범죄가 그럼에도 불구하고 많은 수의 개인에게 영향을 미칠 수 있다는 것입니다.
적어도 노출되지 않은 대다수의 우리에게 좋은 소식은 공격에 사용된 트릭과 우회가 Microsft 위협 사냥꾼이 이를 안정적으로 추적할 수 있을 만큼 구체적이어서 최종적으로 총 25개 조직이 발견되었다는 것입니다. 실제로 완전한 히트리스트인 것 같습니다.
간단히 말해서, 이 해킹의 일부가 된 것에 대해 Microsoft로부터 아직 직접 소식을 듣지 못했다면(회사는 분명히 피해자 목록을 게시하지 않았습니다), 당신이 안전하다고 가정할 수도 있습니다.
더 좋은 점은 여기에서 더 나은 단어가 올바른 경우 공격은 Microsoft의 백엔드 작업에서 두 가지 보안 실패에 의존했습니다. 즉, 클라이언트 측 소프트웨어나 구성 업데이트를 푸시하지 않고도 두 취약점을 "내부"에서 수정할 수 있습니다.
즉, 서둘러 직접 설치해야 하는 중요한 패치가 없다는 의미입니다.
없던 제로데이
아시다시피 제로데이는 Bad Guys가 먼저 발견하고 악용하는 방법을 알아낸 보안 허점이므로 가장 예리하고 정보가 풍부한 보안 팀이라도 공격에 앞서 패치할 수 있는 날이 없습니다.
따라서 기술적으로 이 두 개의 Storm-0558 구멍은 제로데이로 간주될 수 있습니다. 왜냐하면 Microsoft가 관련 취약점을 처리할 수 있기 전에 사기꾼들이 버그를 바쁘게 악용했기 때문입니다.
그러나 Microsoft가 "제로데이"라는 단어를 자체 범위에서 조심스럽게 피하고 구멍을 수정하기 위해 우리 모두가 패치를 다운로드할 필요가 없다는 점을 감안할 때 위의 헤드라인에서 다음과 같이 언급했음을 알 수 있습니다. 세미 제로 데이, 설명은 그대로 두겠습니다.
그럼에도 불구하고 이 경우 상호 연결된 두 가지 보안 문제의 특성은 다음 세 가지 사항을 중요하게 상기시켜 줍니다.
- 적용된 암호화는 어렵습니다.
- 보안 세분화는 어렵습니다.
- 위협 사냥은 어렵습니다.
악행의 첫 징후는 사기꾼이 불법적으로 획득한 인증 토큰을 사용하여 OWA(Outlook Web Access)를 통해 피해자의 Exchange 데이터에 잠입하는 것으로 나타났습니다.
일반적으로 인증 토큰은 귀하가 사용하는 각 온라인 서비스에 특정한 임시 웹 쿠키로, 귀하가 귀하의 신원을 만족스러운 기준으로 증명하면 서비스에서 귀하의 브라우저로 보냅니다.
세션 시작 시 신원을 확실하게 설정하려면 암호와 일회성 2FA 코드를 입력하거나 Yubikey와 같은 암호화 "패스키" 장치를 제시하거나 잠금을 해제하고 스마트 카드를 컴퓨터에 삽입해야 할 수 있습니다. 리더.
그 후에는 브라우저에 발급된 인증 쿠키가 단기 패스 역할을 하므로 사이트와 상호 작용할 때마다 암호를 입력하거나 보안 장치를 반복해서 제시할 필요가 없습니다.
항공사 체크인 데스크에서 여권을 제시하는 것과 같은 초기 로그인 프로세스와 특정 항공편을 위해 공항과 비행기에 탑승할 수 있는 탑승권으로 인증 토큰을 생각할 수 있습니다.
때때로 비행기에 탑승하기 직전과 같이 여권을 다시 보여줌으로써 신원을 재확인해야 할 수도 있지만, 종종 탑승권을 보여주는 것만으로도 비행기에 탑승할 때 "거기에 있을 권리"를 확립하기에 충분할 때가 많습니다. 공항의 에어사이드 부분을 돌아다니는 방법입니다.
가능성 있는 설명이 항상 옳은 것은 아닙니다.
사기꾼이 웹 요청의 HTTP 헤더에 다른 사람의 인증 토큰을 가지고 나타나기 시작하면, 가장 가능성 있는 설명 중 하나는 범죄자가 이미 피해자의 컴퓨터에 악성 코드를 심었다는 것입니다.
해당 맬웨어가 피해자의 네트워크 트래픽을 감시하도록 설계된 경우 일반적으로 사용할 준비가 된 후 암호화되어 전송되기 전에 기본 데이터를 볼 수 있습니다.
즉, 사기꾼은 인증 토큰을 포함하여 중요한 개인 브라우징 데이터를 스누핑하고 훔칠 수 있습니다.
일반적으로 공격자는 약 2010년까지 일반적으로 가능했던 것처럼 인터넷을 통해 이동하면서 더 이상 인증 토큰을 스니핑할 수 없습니다. 이는 요즘 모든 평판 좋은 온라인 서비스에서 로그온한 사용자와 주고받는 트래픽이 HTTPS를 통해 이동해야 하기 때문입니다. , HTTPS를 통해서만 가능합니다. 보안 HTTP.
HTTPS는 TLS를 사용합니다. 전송 계층 보안, 이름에서 알 수 있듯이 수행합니다. 모든 데이터는 브라우저를 떠나지만 네트워크에 도달하기 전에 강력하게 암호화되며 다른 쪽 끝에 있는 의도한 서버에 도달할 때까지 해독되지 않습니다. 존재하지 않는 데이터를 검색하려고 시도하고 모든 서버가 형식적이라고 알려야 하는 경우에도 서버가 응답으로 다시 보내는 데이터에 대해 동일한 종단 간 데이터 스크램블링 프로세스가 반대로 발생합니다. 404 Page not found
.
다행스럽게도 Microsoft 위협 사냥꾼은 사기 이메일 상호 작용이 네트워크 연결의 클라이언트 측에서 트리거된 문제로 인한 것이 아니라는 사실을 곧 깨달았습니다. 거기 없어.
그 다음으로 가능성이 높은 설명은 이론상으로는 수정하기가 더 쉽지만(모든 사람이 한 번에 수정할 수 있기 때문에) 실제로는 사기꾼이 인증 생성 프로세스를 손상시켰다는 점에서 고객에게 더 놀라운 것입니다. 우선 토큰.
이를 수행하는 한 가지 방법은 토큰을 생성하는 서버를 해킹하고 백도어를 삽입하여 사용자의 신원을 먼저 확인하지 않고 유효한 토큰을 생성하는 것입니다.
Microsoft가 원래 조사한 또 다른 방법은 공격자가 인증 서버에서 충분한 데이터를 훔쳐 사기성이지만 유효해 보이는 인증 토큰을 생성할 수 있다는 것입니다.
이것은 공격자가 인증 서버가 발행하는 토큰에 "유효성 봉인"을 찍는 데 사용하는 암호화 서명 키 중 하나를 훔쳐 모든 사람이 가짜 토큰을 만드는 것을 불가능하게 만들었다는 것을 의미합니다. 소집을 통과 할 것입니다.
인증 서버는 보안 개인 키를 사용하여 발급된 모든 액세스 토큰에 디지털 서명을 추가함으로써 생태계의 다른 서버가 수신한 토큰의 유효성을 쉽게 확인할 수 있도록 해줍니다. 이렇게 하면 인증 서버는 실제로 알려진 양호한 토큰의 누출 가능한 목록을 공유(및 정기적으로 업데이트)할 필요 없이 다양한 네트워크 및 서비스에서 안정적으로 작동할 수도 있습니다.
작동하지 않아야 하는 해킹
Microsoft는 궁극적으로 Storm-0558 공격의 악성 액세스 토큰이 합법적으로 서명되었다고 판단했습니다. 이는 누군가 실제로 회사 서명 키를 훔쳤음을 암시하는 것으로 보입니다.
...그러나 그것들은 실제로 올바른 종류의 토큰이 전혀 아니었습니다.
회사 계정은 Azure AD(Active Directory) 토큰을 사용하여 클라우드에서 인증되어야 하지만 이러한 가짜 공격 토큰은 MSA 키로 알려진 것으로 서명되었습니다. Microsoft 계정, 이는 AD 기반 기업 계정이 아닌 독립형 소비자 계정을 지칭하는 데 사용된 두문자어임이 분명합니다.
대략적으로 말하면, 사기꾼들은 Microsoft의 보안 검사를 통과한 가짜 인증 토큰을 만들고 있었지만 이러한 토큰은 기업 사용자가 기업 계정에 로그인하는 대신 개인 Outlook.com 계정에 로그인하는 사용자용으로 서명되었습니다.
한 마디로, "무엇?!!?!"
분명히 사기꾼들은 기업 수준의 서명 키를 훔칠 수 없었고 소비자 수준의 키만 훔쳤습니다(이는 소비자 수준 사용자를 폄하하는 것이 아닙니다. 생태계).
그러나 첫 번째 세미 제로 데이, 즉 눈치채지 못한 채 Microsoft 암호화 비밀을 획득한 후, 사기꾼은 소비자 계정 키로 서명된 액세스 토큰을 전달할 수 있는 두 번째 세미 제로 데이를 발견한 것으로 보입니다. 대신 Azure AD 서명 토큰인 것처럼 "이 키는 여기에 속하지 않습니다"라는 신호를 보내야 합니다.
즉, 사기꾼은 계획한 공격에 대해 잘못된 종류의 서명 키를 사용하고 있었음에도 불구하고 훔친 키가 작동하지 못하도록 하는 분할 및 분리 보안 조치를 우회할 수 있는 방법을 찾았습니다.
더 나쁜 소식과 좋은 소식
Microsoft의 나쁜 소식은 작년에 회사가 키 보안 서명과 관련하여 부족한 것으로 밝혀진 유일한 시간이 아니라는 것입니다.
XNUMXD덴탈의 최신 패치 화요일, 실제로 Microsoft는 Redmond 자체가 Windows 하드웨어 개발자 프로그램의 후원하에 서명한 악의적인 맬웨어에 감염된 Windows 커널 드라이버에 대한 차단 목록 보호를 뒤늦게 제공했습니다.
좋은 소식은 사기꾼들이 소비자 스타일의 암호화 키로 서명된 기업 스타일 액세스 토큰을 사용했기 때문에 Microsoft의 보안 팀이 무엇을 찾아야 하는지 알게 되면 그들의 가짜 인증 자격 증명을 안정적으로 위협 추적할 수 있다는 것입니다.
전문 용어가 풍부한 언어로 Microsoft는 다음과 같이 언급합니다.
요청에 서명하기 위해 잘못된 키를 사용하여 조사 팀은 엔터프라이즈 및 소비자 시스템 모두에서 이 패턴을 따르는 모든 행위자 액세스 요청을 볼 수 있었습니다.
잘못된 키를 사용하여 이 어설션 범위에 서명한 것은 Microsoft 시스템이 이러한 방식으로 토큰에 서명하지 않았기 때문에 행위자 활동의 명백한 지표였습니다.
간단히 말해서, Microsoft의 아무도 이에 대해 사전에 알지 못했다는 사실(따라서 능동적으로 패치되지 않음)의 단점은 아이러니하게도 Microsoft의 아무도 그런 식으로 작동하는 코드를 작성하려고 시도한 적이 없다는 장점으로 이어졌습니다. .
그리고 이는 이 공격의 악의적인 행동이 신뢰할 수 있고 고유한 IoC로 사용될 수 있음을 의미합니다. 타협의 지표.
그렇기 때문에 Microsoft는 이러한 더블 세미 제로 데이 홀이 악용된 모든 사례를 추적했으며 영향을 받는 25명의 강력한 고객 목록이 철저한 목록이라고 자신 있게 말할 수 있다고 생각합니다.
무엇을해야 하는가?
이에 대해 Microsoft로부터 연락을 받지 않았다면 영향을 받지 않았다고 확신할 수 있습니다.
그리고 보안 조치가 Microsoft의 자체 클라우드 서비스 내부에 적용되었기 때문에(즉, 도난당한 MSA 서명 키를 부인하고 회사 인증에 "잘못된 유형의 키"를 사용할 수 있는 허점을 닫음) 패치를 직접 설치하십시오.
그러나 프로그래머, 품질 보증 실무자, 레드 티머/블루 티머 또는 기타 IT 관련 종사자라면 이 기사의 맨 위에서 언급한 세 가지 사항을 기억하십시오.
- 적용된 암호화는 어렵습니다. 올바른 알고리즘을 선택하고 안전하게 구현하기만 하면 되는 것이 아닙니다. 또한 올바르게 사용하고 적절한 장기 치료를 통해 시스템이 의존하는 암호화 키를 관리해야 합니다.
- 보안 세분화는 어렵습니다. Microsoft가 여기서 한 것처럼 생태계의 복잡한 부분을 두 개 이상의 부분으로 분할했다고 생각하더라도 분리가 실제로 예상대로 작동하는지 확인해야 합니다. 분리의 보안을 직접 조사하고 테스트하십시오. 테스트하지 않으면 사기꾼이 확실히 그럴 것이기 때문입니다.
- 위협 사냥은 어렵습니다. 첫 번째이자 가장 분명한 설명이 항상 옳은 것은 아니거나 유일한 설명이 아닐 수도 있습니다. 처음으로 그럴듯한 설명을 들었을 때 사냥을 멈추지 마십시오. 현재 공격에 사용된 실제 익스플로잇을 식별할 뿐만 아니라 잠재적으로 관련된 다른 원인을 최대한 많이 발견하여 사전에 패치할 수 있을 때까지 계속 진행하십시오.
잘 알려진 문구를 인용하자면(그리고 그것이 사실이라는 사실은 우리가 그것이 상투적인 것에 대해 걱정하지 않는다는 것을 의미합니다): 사이버 보안은 목적지가 아니라 여정입니다.
사이버 보안 위협 사냥을 처리할 시간이나 전문 지식이 부족합니까? 사이버 보안으로 인해 해야 할 다른 모든 작업에 방해가 될까봐 걱정되시나요?
전단지에 포함된 링크에 대해 더 알아보기 Sophos 관리형 탐지 및 대응:
연중무휴 24시간 위협 사냥, 탐지 및 대응 ▶
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :있다
- :이다
- :아니
- :어디
- $UP
- 1
- 15%
- 25
- 2FA
- a
- 할 수 있는
- 소개
- IT에 대해
- 위의
- 절대
- ACCESS
- 액세스
- 계정
- 계정
- 획득한
- 취득
- 가로질러
- 활동적인
- Active Directory의
- 활동
- 행위
- 실제
- 실제로
- Ad
- 더하다
- 전진
- 후
- 다시
- 반대
- 기관
- 항공 회사
- 공항
- 알고리즘
- All
- 수
- 허용
- 혼자
- 이미
- 또한
- 항상
- an
- 및
- 어떤
- 누군가
- 어딘가에
- 명백한
- 적용된
- 대략
- 있군요
- 약
- 기사
- AS
- 취하다
- 가정
- 보증
- At
- 공격
- 공격
- 인증 된
- 인증
- 저자
- 자동
- 가능
- 피하는
- 하늘빛
- 뒤로
- 백엔드
- 뒷문
- 배경
- 배경 이미지
- 나쁜
- BE
- 때문에
- 된
- 전에
- 존재
- 더 나은
- 탑승
- 기관
- 경계
- 두
- 바닥
- 브라우저
- 검색
- 버그
- 다발
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- CAN
- 카드
- 한
- 면밀히
- 케이스
- 원인
- 센터
- 확실히
- 검사
- 확인
- 확인하는 것이 좋다.
- 왼쪽 메뉴에서
- 선명한
- 클라이언트
- 폐쇄
- 클라우드
- 암호
- 색
- COM
- 일반적으로
- 회사
- 회사
- 완전한
- 복잡한
- 손상된
- 컴퓨터
- 자신감
- 구성
- 연결
- 고려
- 소비자
- 쿠키
- Corporate
- 수
- 엄호
- 적용 범위
- 만들
- 만들기
- 신임장
- 범죄자
- 임계
- 사기꾼
- cryptographic
- 암호 법
- Current
- 고객
- 사이버 범죄
- 사이버 보안
- 데이터
- 일
- 일
- 거래
- 설명
- 설계
- 책상
- 목적지
- Detection System
- 결정된
- 개발자
- 장치
- DID
- 다른
- 디지털
- 직접
- 발견
- 디스플레이
- do
- 문서
- 하지
- 하지 않습니다
- 말라
- 아래 (down)
- 다운로드
- 단점
- 극적으로
- 드라이버
- ...동안
- 마다
- 쉽게
- 쉽게
- 생태계
- 그 외의
- 이메일
- 암호화
- end
- 끝으로 종료
- 영어
- 충분히
- 엔터 버튼
- Enterprise
- 자격
- 세우다
- 조차
- EVER
- 모든
- 사람
- 교환
- 있다
- 기대
- 전문적 지식
- 설명
- 공적
- 악용
- 공격
- 드러난
- 사실
- 모조품
- 문채 있는
- 최후의
- 먼저,
- 수정
- 고정
- 항공편
- 다음에
- 럭셔리
- 발견
- 사기의
- 에
- 생성
- 얻을
- 주어진
- Go
- 가는
- 좋은
- Government
- 마구 자르기
- 했다
- 발생
- 하드
- 하드웨어
- 있다
- 데
- 헤더
- 표제
- 들었다
- 신장
- 여기에서 지금 확인해 보세요.
- 히트
- 구멍
- 가져가
- 방법
- How To
- HTTP
- HTTPS
- 수백
- 수렵
- 확인
- 통합 인증
- if
- 구현
- 암시 된
- in
- 포함
- 지시자
- 개인
- 처음에는
- 내부
- 설치
- 예
- 를 받아야 하는 미국 여행자
- 예정된
- 상호 작용
- 상호 작용
- 상호 연결된
- 인터넷
- 으로
- 조사
- 참여
- 아이러니하게
- 발행
- 문제
- IT
- 그
- 그 자체
- 여행
- JPG
- 다만
- 유지
- 키
- 키
- 알아
- 알려진
- 언어
- 넓은
- 성
- 층
- 가장 작은
- 휴가
- 출발
- 지도
- 왼쪽 (left)
- 수
- 처럼
- 아마도
- 명부
- 로깅
- 로그인
- 장기
- 보기
- 찾고
- 도망 칠 길
- 만든
- 과반수
- 확인
- 제작
- 악성 코드
- 관리
- 관리
- .
- 한계
- 최대 폭
- XNUMX월..
- 의미
- 방법
- 의미
- 조치들
- 단지
- Microsoft
- 수도
- minting
- 배우기
- 가장
- 절대로 필요한 것
- name
- 즉
- 자연
- 필요
- 필요
- 요구
- 네트워크
- 네트워크 트래픽
- 네트워크
- 네트워크 및 서비스
- 그렇지만
- news
- 아니
- 표준
- 노트
- 지금
- 번호
- 분명한
- of
- 오프
- 제공
- 자주
- on
- 일단
- ONE
- 사람
- 온라인
- 만
- 행정부
- or
- 조직
- 조직
- 원래
- 기타
- 그렇지 않으면
- 우리의
- 아웃
- Outlook
- 위에
- 자신의
- 페이지
- 부품
- 부품
- 패스
- 합격
- 여권
- 비밀번호
- 과거
- 패치
- 패치
- 무늬
- 폴
- 사람들
- 확인
- 장소
- 계획
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 그럴듯한
- 부디
- 전철기
- 위치
- 게시물
- 잠재적으로
- 연습
- 준비
- 제시
- 방지
- 이전에
- 사설
- 개인 키
- 탐침
- 문제
- 문제
- 방법
- 생산
- 프로그램
- 프로그램 제작자
- 보호
- 증명
- 공개
- 공공 클라우드
- 출판
- 미는
- 놓다
- 품질
- 견적을 원하시면, 오늘 Kevin Lee Company 에 연락주세요.
- 차라리
- 도달하다
- 리더
- 정말
- 받다
- 빨간색
- 참조
- 규칙적으로
- 관련
- 상대적인
- 신뢰할 수있는
- 신고
- 평판이 좋은
- 요청
- 필요
- 필수
- 필요
- 점
- 공개
- 역
- 연락해주세요
- 돌진
- s
- 같은
- 본
- 범위
- 계절
- 둘째
- 비밀
- 안전해야합니다.
- 안전하게
- 보안
- 보안 조치
- 참조
- 보다
- ~ 같았다
- 분할
- 보내다
- 전송
- 전송
- 별도의
- 서비스
- 서비스
- 세션
- 공유
- 짧은
- 단기간의
- 영상을
- 보여
- 보여주는
- 측면
- 기호
- 서명
- 로그인
- 안전표시
- 단일
- 대지
- 스마트 한
- 탐정
- So
- 소프트웨어
- 고체
- 일부
- 어떤 사람
- 예정입니다.
- 말하기
- 구체적인
- 분열
- 독립
- 표준
- 스타트
- 주 정부
- 훔친
- 중지
- 폭풍
- 강하게
- 이러한
- 제안
- 제안
- 적당한
- 가정
- 확인
- SVG
- 체계
- 시스템은
- 받아
- 이야기
- 팀
- 팀
- 기법
- 이야기
- 일시적인
- 수십
- test
- 보다
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그들 자신
- 그때
- 이론
- 그곳에.
- 따라서
- Bowman의
- 그들
- 일
- 생각
- 이
- 그
- 그래도?
- 수천
- 위협
- 세
- 시간
- TLS
- 에
- 토큰
- 토큰
- 상단
- 금액
- 선로
- 교통
- 전이
- 투명한
- 여행
- 시도
- 방아쇠를 당긴
- 참된
- 시도
- 회전
- 두
- 일반적으로
- 궁극적으로
- 아래에
- 밑에 있는
- 유일한
- 잠금을 해제
- 까지
- 업데이트
- 업데이트
- ...에
- 위
- URL
- us
- 우리 정부
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 사용
- 거대한
- 를 통해
- 희생자
- 피해자
- 필수
- 취약점
- 이 없이
- 였다
- 방법..
- we
- 웹
- 주
- 잘
- 잘 알려진
- 했다
- 뭐
- 언제
- 어느
- 누구
- why
- 야생
- 의지
- 창
- WISE
- 과
- 없이
- 워드
- 말
- 작업
- 일하는
- 걱정
- 겠지
- 쓰다
- 코드 작성
- 잘못된
- year
- 아직
- 당신
- 너의
- 당신 자신
- 제퍼 넷