La sfârșitul săptămânii trecute, Microsoft a publicat un raport intitulat Analiza tehnicilor Storm-0558 pentru accesul neautorizat la e-mail.
În acest document destul de dramatic, echipa de securitate a companiei a dezvăluit fundalul unui hack inexplicabil anterior în care au fost accesate date, inclusiv textul e-mailului, atașamentele și multe altele:
de la aproximativ 25 de organizații, inclusiv agenții guvernamentale și conturi de consumatori aferente în cloudul public.
Vestea proastă, deși doar 25 de organizații au fost aparent atacate, este că această infracțiune cibernetică ar fi afectat totuși un număr mare de persoane, având în vedere că unele organisme guvernamentale americane angajează oriunde de la zeci la sute de mii de oameni.
Vestea bună, cel puțin pentru marea majoritate dintre noi, care nu am fost expuși, este că trucurile și ocolirile folosite în atac au fost suficient de specifice încât vânătorii de amenințări Microsft au putut să le dea de urma în mod fiabil, astfel încât totalul final de 25 de organizații pare să fie într-adevăr o listă completă de succese.
Mai simplu spus, dacă nu ați auzit încă direct de la Microsoft despre a face parte din acest hack (compania nu a publicat, evident, o listă de victime), atunci ați putea la fel de bine să presupuneți că sunteți în clar.
Mai bine încă, dacă mai bine este cuvântul potrivit aici, atacul s-a bazat pe două defecțiuni de securitate în operațiunile de back-end ale Microsoft, ceea ce înseamnă că ambele vulnerabilități ar putea fi remediate „in casă”, fără a elimina vreun software de la parte client sau actualizări de configurare.
Asta înseamnă că nu există patch-uri critice pe care trebuie să le instalați singuri.
Zilele zero care nu au fost
Zilele zero, după cum știți, sunt găuri de securitate pe care Băieții Rău le-au găsit primii și și-au dat seama cum să le exploateze, astfel încât să nu rămână zile disponibile în care chiar și cele mai atente și mai bine informate echipe de securitate ar fi putut repara înaintea atacurilor.
Prin urmare, din punct de vedere tehnic, aceste două găuri Storm-0558 pot fi considerate zile zero, deoarece escrocii au exploatat cu treabă erorile înainte ca Microsoft să poată face față vulnerabilităților implicate.
Cu toate acestea, având în vedere că Microsoft a evitat cu atenție cuvântul „zero-day” în propria sa acoperire și având în vedere că pentru remedierea găurilor nu ne-a necesitat pe toți să descărcam patch-uri, veți vedea că ne-am referit la ele în titlul de mai sus ca zile semi-zero, și vom lăsa descrierea aici.
Cu toate acestea, natura celor două probleme de securitate interconectate în acest caz este o reamintire vitală a trei lucruri, și anume că:
- Criptografia aplicată este dificilă.
- Segmentarea securității este grea.
- Vânătoarea de amenințări este grea.
Primele semne de răutate au arătat că escrocii se strecoară în datele Exchange ale victimelor prin Outlook Web Access (OWA), folosind jetoane de autentificare dobândite ilegal.
În mod obișnuit, un simbol de autentificare este un cookie web temporar, specific fiecărui serviciu online pe care îl utilizați, pe care serviciul îl trimite browserului dvs. după ce v-ați dovedit identitatea la un standard satisfăcător.
Pentru a vă stabili identitatea cu putere la începutul unei sesiuni, poate fi necesar să introduceți o parolă și un cod 2FA unic, să prezentați un dispozitiv criptografic „cheie de acces”, cum ar fi un Yubikey, sau să deblocați și să introduceți un card inteligent într-un cititor.
Ulterior, cookie-ul de autentificare emis către browser-ul dumneavoastră acționează ca o trecere pe termen scurt, astfel încât să nu aveți nevoie să vă introduceți parola sau să vă prezentați dispozitivul de securitate, iar și iar pentru fiecare interacțiune pe care o aveți cu site-ul.
Vă puteți gândi la procesul inițial de conectare, cum ar fi prezentarea pașaportului la biroul de check-in al unei companii aeriene și jetonul de autentificare ca pe cardul de îmbarcare care vă permite să intrați în aeroport și să vă urcați în avion pentru un anumit zbor.
Uneori vi se poate cere să vă reafirmați identitatea arătându-vă din nou pașaportul, cum ar fi chiar înainte de a vă urca în avion, dar de multe ori doar afișarea cardului de îmbarcare va fi suficient pentru a vă stabili „dreptul de a fi acolo” în timp ce vă faceți înconjurul părților din zona aeroportului.
Explicațiile probabile nu sunt întotdeauna corecte
Când escrocii încep să apară cu simbolul de autentificare al altcuiva în antetele HTTP ale solicitărilor lor web, una dintre cele mai probabile explicații este că infractorii au implantat deja malware pe computerul victimei.
Dacă acel malware este proiectat să spioneze traficul de rețea al victimei, de obicei va vedea datele de bază după ce a fost pregătit pentru utilizare, dar înainte de a fi criptat și trimis.
Asta înseamnă că escrocii pot smuci și fura date vitale de navigare privată, inclusiv jetoane de autentificare.
În general, atacatorii nu mai pot adulmeca jetoanele de autentificare în timp ce călătoresc pe internet, așa cum ar putea de obicei până în 2010. Acest lucru se datorează faptului că fiecare serviciu online de renume în zilele noastre necesită ca traficul către și de la utilizatorii conectați să călătorească prin HTTPS. , și numai prin HTTPS, prescurtare pentru HTTP securizat.
HTTPS folosește TLS, prescurtare pentru securitatea stratului de transport, care face ceea ce sugerează numele său. Toate datele sunt puternic criptate pe măsură ce părăsesc browserul dvs., dar înainte de a ajunge în rețea, și nu sunt decriptate până când nu ajung la serverul dorit de la celălalt capăt. Același proces de amestecare a datelor de la capăt la capăt se întâmplă invers pentru datele pe care serverul le trimite înapoi în răspunsurile sale, chiar dacă încercați să recuperați date care nu există și tot ce trebuie să vă spună serverul este superficial. 404 Page not found
.
Din fericire, vânătorii de amenințări Microsoft și-au dat seama curând că interacțiunile frauduloase prin e-mail nu s-au datorat unei probleme declanșate la nivelul clientului conexiunii la rețea, o presupunere care ar fi trimis organizațiile victime în 25 de urmăriri separate de gâscă sălbatică, în căutarea unui malware care nu era. nu acolo.
Următoarea explicație cea mai probabilă este una care, în teorie, este mai ușor de remediat (pentru că poate fi remediată pentru toată lumea dintr-o singură mișcare), dar în practică este mai alarmantă pentru clienți, și anume că escrocii au compromis cumva procesul de creare a autentificării jetoane în primul rând.
O modalitate de a face acest lucru ar fi să piratați serverele care le generează și să implantați o ușă din spate pentru a produce un token valid fără a verifica mai întâi identitatea utilizatorului.
Un alt mod, care aparent este ceea ce Microsoft a investigat inițial, este că atacatorii au reușit să fure suficiente date de pe serverele de autentificare pentru a genera ei înșiși jetoane de autentificare frauduloase, dar cu aspect valid.
Acest lucru a implicat că atacatorii au reușit să fure una dintre cheile de semnare criptografică pe care serverul de autentificare le folosește pentru a ștampila un „sigiliu de valabilitate” în jetoanele pe care le emite, pentru a face pe cât de bine posibil pentru oricine să creeze un simbol fals. care ar trece adunare.
Prin utilizarea unei chei private securizate pentru a adăuga o semnătură digitală la fiecare token de acces emis, un server de autentificare facilitează pentru orice alt server din ecosistem să verifice validitatea token-urilor pe care le primesc. În acest fel, serverul de autentificare poate funcționa chiar și în mod fiabil în diferite rețele și servicii, fără a fi nevoie să partajeze (și să actualizeze în mod regulat) o listă care poate fi scursă de token-uri reale, cunoscute.
Un hack care nu trebuia să funcționeze
Microsoft a stabilit în cele din urmă că tokenurile de acces necinstite din atacul Storm-0558 au fost semnate în mod legitim, ceea ce părea să sugereze că cineva a ciupit într-adevăr o cheie de semnare a companiei...
… dar nu erau de fapt genul potrivit de jetoane.
Conturile corporative ar trebui să fie autentificate în cloud folosind jetoane Azure Active Directory (AD), dar aceste jetoane de atac false au fost semnate cu ceea ce este cunoscut ca o cheie MSA, prescurtare de la cont Microsoft, ceea ce este evident inițialismul folosit pentru a se referi la conturile de consum autonome, mai degrabă decât la cele corporative bazate pe AD.
Vorbind în mod liber, escrocii bateau jetoane de autentificare false care au trecut de verificările de securitate ale Microsoft, totuși acele jetoane erau semnate ca și cum ar fi pentru un utilizator care se conectează la un cont personal Outlook.com în loc de un utilizator corporativ care se conectează la un cont corporativ.
Intr-un cuvant, "Ce?!!?!"
Aparent, escrocii nu au fost capabili să fure o cheie de semnare la nivel de corporație, doar una la nivel de consumator (aceasta nu este o disprețuire a utilizatorilor la nivel de consumator, ci doar o precauție criptografică înțeleaptă pentru a împărți și-separa cele două părți ale ecosistem).
Dar după ce au reușit această primă zi semi-zero, și anume dobândind un secret criptografic Microsoft fără a fi observați, escrocii au găsit aparent o a doua zi semi-zero prin care au putut transmite un token de acces semnat cu o cheie de cont de consumator care ar fi trebuit să semnaleze „această cheie nu aparține aici” ca și cum ar fi fost un token semnat Azure AD.
Cu alte cuvinte, chiar dacă escrocii au fost blocați cu tipul greșit de cheie de semnare pentru atacul pe care îl plănuiseră, au găsit totuși o modalitate de a ocoli măsurile de securitate de împărțire și separare care trebuiau să oprească cheia lor furată să funcționeze.
Mai multe vești rele și bune
Vestea proastă pentru Microsoft este că aceasta nu este singura dată când compania a fost găsită fără probleme în ceea ce privește semnarea cheii de securitate în ultimul an.
ultimul Patch TuesdayÎntr-adevăr, a văzut Microsoft oferind cu întârziere protecția listei de blocare împotriva unei grămadă de drivere de kernel Windows infectate cu malware pe care Redmond le-a semnat sub egida programului său de dezvoltare hardware Windows.
Vestea bună este că, deoarece escrocii foloseau jetoane de acces în stil corporativ, semnate cu o cheie criptografică de tip consumator, acreditările lor de autentificare necinstite puteau fi vânate în mod fiabil de amenințări odată ce echipa de securitate a Microsoft a știut ce să caute.
Într-un limbaj bogat în jargon, Microsoft observă că:
Utilizarea unei chei incorecte pentru a semna solicitările a permis echipelor noastre de investigație să vadă toate solicitările de acces ale actorilor care au urmat acest model atât în sistemele noastre de întreprindere, cât și în cele ale consumatorilor.
Utilizarea cheii incorecte pentru a semna acest domeniu de afirmații a fost un indicator evident al activității actorului, deoarece niciun sistem Microsoft nu semnează token-uri în acest fel.
Într-o engleză mai simplă, dezavantajul faptului că nimeni de la Microsoft nu știa despre acest lucru dinainte (prevenind astfel să fie corectat în mod proactiv) a condus, în mod ironic, la partea pozitivă că nimeni de la Microsoft nu a încercat vreodată să scrie cod pentru a funcționa în acest fel .
Și asta, la rândul său, a însemnat că comportamentul necinstiți din acest atac ar putea fi folosit ca un IoC unic și de încredere sau indicator de compromis.
Acesta este, presupunem, motivul pentru care Microsoft se simte acum încrezător să afirme că a urmărit fiecare situație în care aceste găuri de zi dublu-semi-zero au fost exploatate și, prin urmare, că lista sa de 25 de clienți afectați este una exhaustivă.
Ce să fac?
Dacă nu ați fost contactat de Microsoft în acest sens, atunci credem că puteți fi siguri că nu ați fost afectat.
Și pentru că remediile de securitate au fost aplicate în interiorul serviciului cloud al Microsoft (și anume, renegarea oricăror chei de semnare MSA furate și închiderea lacunei permițând ca „tipul greșit de cheie” să fie folosit pentru autentificarea corporativă), nu trebuie să vă amestecați la instalați singuri orice patch-uri.
Cu toate acestea, dacă sunteți un programator, un profesionist în asigurarea calității, un jucător roșu/albastru sau implicat în alt mod în IT, vă rugăm să vă amintiți cele trei puncte pe care le-am menționat în partea de sus a acestui articol:
- Criptografia aplicată este dificilă. Nu trebuie doar să alegeți algoritmii potriviți și să îi implementați în siguranță. De asemenea, trebuie să le utilizați corect și să gestionați toate cheile criptografice pe care se bazează sistemul cu grijă adecvată pe termen lung.
- Segmentarea securității este grea. Chiar și atunci când credeți că ați împărțit o parte complexă a ecosistemului dvs. în două sau mai multe părți, așa cum a făcut Microsoft aici, trebuie să vă asigurați că separarea funcționează într-adevăr așa cum vă așteptați. Sondați și testați singur siguranța despărțirii, pentru că dacă nu o testați, escrocii cu siguranță o vor face.
- Vânătoarea de amenințări este grea. Prima și cea mai evidentă explicație nu este întotdeauna cea corectă sau poate să nu fie singura. Nu te opri din vânătoare când ai prima explicație plauzibilă. Continuați până când nu numai că ați identificat exploatările reale utilizate în atacul actual, dar ați descoperit și cât mai multe alte cauze potențial legate, astfel încât să le puteți corecta proactiv.
Pentru a cita o frază binecunoscută (și faptul că este adevărată înseamnă că nu ne îngrijorează că este un clișeu): Securitatea cibernetică este o călătorie, nu o destinație.
Nu aveți timp sau experiență pentru a vă ocupa de vânătoarea de amenințări pentru securitatea cibernetică? Vă faceți griji că securitatea cibernetică vă va distrage atenția de la toate celelalte lucruri pe care trebuie să le faceți?
Aflați mai multe despre Sophos Managed Detection and Response:
Vânătoarea, detectarea și răspunsul amenințărilor 24/7 ▶
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
- Sursa: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 15%
- 25
- 2FA
- a
- Capabil
- Despre Noi
- despre
- mai sus
- Absolut
- acces
- accesate
- Cont
- Conturi
- dobândite
- dobândirea
- peste
- activ
- Active Directory
- activitate
- Acte
- curent
- de fapt
- Ad
- adăuga
- avansa
- După
- din nou
- împotriva
- Agențiile
- linie aeriană
- aeroport
- algoritmi
- TOATE
- permis
- Permiterea
- singur
- deja
- de asemenea
- mereu
- an
- și
- Orice
- oricine
- oriunde
- aparent
- aplicat
- aproximativ
- SUNT
- în jurul
- articol
- AS
- asuma
- presupunere
- asigurare
- At
- ataca
- Atacuri
- autentificata
- Autentificare
- autor
- Auto
- disponibil
- evitat
- Azuriu
- înapoi
- Back-end
- ușă din dos
- fundal
- imagine de fundal
- Rău
- BE
- deoarece
- fost
- înainte
- fiind
- Mai bine
- îmbarcare
- organisme
- frontieră
- atât
- De jos
- browser-ul
- Navigare
- gandaci
- Buchet
- dar
- by
- CAN
- card
- pasă
- cu grijă
- caz
- cauze
- Centru
- cu siguranță
- verifica
- control
- Verificări
- Alege
- clar
- client
- închidere
- Cloud
- cod
- culoare
- COM
- în mod obișnuit
- companie
- Compania
- Completă
- complex
- compromis
- calculator
- încrezător
- Configuraţie
- conexiune
- luate în considerare
- consumator
- fursec
- Istoria
- ar putea
- acoperi
- acoperire
- crea
- Crearea
- scrisori de acreditare
- criminali
- critic
- Crooks
- criptografic
- criptografie
- Curent
- clienţii care
- criminalităţii cibernetice
- Securitate cibernetică
- de date
- zi
- Zi
- afacere
- descriere
- proiectat
- birou
- destinație
- Detectare
- determinat
- Dezvoltator
- dispozitiv
- FĂCUT
- diferit
- digital
- direct
- a descoperit
- Afişa
- do
- document
- face
- Nu
- Dont
- jos
- Descarca
- dezavantaj
- dramatic
- drivere
- în timpul
- fiecare
- mai ușor
- uşor
- ecosistem
- Altele
- criptate
- capăt
- un capăt la altul
- Engleză
- suficient de
- Intrați
- Afacere
- Intitulat
- stabili
- Chiar
- EVER
- Fiecare
- toată lumea
- schimb
- exista
- aștepta
- expertiză
- explicație
- Exploata
- exploatat
- exploit
- expus
- fapt
- fals
- imaginat
- final
- First
- Repara
- fixată
- zbor
- a urmat
- Pentru
- găsit
- necinstit
- din
- genera
- obține
- dat
- Go
- merge
- bine
- Guvern
- hack
- HAD
- se întâmplă
- Greu
- Piese metalice
- Avea
- având în
- anteturile
- titlu
- auzit
- înălțime
- aici
- Lovit
- găuri
- planare
- Cum
- Cum Pentru a
- http
- HTTPS
- sute
- Vânătoare
- identificat
- Identitate
- if
- punerea în aplicare a
- implicite
- in
- Inclusiv
- Indicator
- persoane fizice
- inițială
- în interiorul
- instala
- instanță
- in schimb
- destinate
- interacţiune
- interacţiuni
- interconectate
- Internet
- în
- investigaţie
- implicat
- Ironic
- Emis
- probleme de
- IT
- ESTE
- în sine
- călătorie
- jpg
- doar
- A pastra
- Cheie
- chei
- Cunoaște
- cunoscut
- limbă
- mare
- Nume
- strat
- cel mai puțin
- Părăsi
- lăsând
- Led
- stânga
- Permite
- ca
- Probabil
- Listă
- logare
- Logare
- pe termen lung
- Uite
- cautati
- portiță
- făcut
- Majoritate
- face
- FACE
- malware
- administra
- gestionate
- multe
- Margine
- max-width
- Mai..
- sens
- mijloace
- a însemnat
- măsuri
- pur și simplu
- Microsoft
- ar putea
- baterea
- mai mult
- cele mai multe
- trebuie sa
- nume
- și anume
- Natură
- Nevoie
- au nevoie
- nevoilor
- reţea
- trafic de retea
- rețele
- rețele și servicii
- cu toate acestea
- ştiri
- Nu.
- normală.
- notițe
- acum
- număr
- evident
- of
- de pe
- oferind
- de multe ori
- on
- dată
- ONE
- cele
- on-line
- afară
- Operațiuni
- or
- Organizaţii
- organizații
- iniţial
- Altele
- in caz contrar
- al nostru
- afară
- Perspectivă
- peste
- propriu
- pagină
- parte
- piese
- trece
- Trecut
- pașaport
- Parolă
- trecut
- Plasture
- Patch-uri
- Model
- Paul
- oameni
- personal
- Loc
- planificat
- Plato
- Informații despre date Platon
- PlatoData
- plauzibil
- "vă rog"
- puncte
- poziţie
- postări
- potenţial
- practică
- pregătit
- prezenta
- prevenirea
- în prealabil
- privat
- cheie privată
- sondă
- Problemă
- probleme
- proces
- produce
- Program
- Programator
- protecţie
- s-au dovedit
- public
- Norul public
- publicat
- împingerea
- pune
- calitate
- cita
- mai degraba
- aTINGE
- Cititor
- într-adevăr
- a primi
- Roșu
- menționat
- regulat
- legate de
- relativ
- de încredere
- raportează
- respectabil
- cereri de
- necesita
- necesar
- Necesită
- respect
- Dezvăluit
- inversa
- dreapta
- grăbi
- s
- acelaşi
- văzut
- domeniu
- Sezon
- Al doilea
- Secret
- sigur
- în siguranță,
- securitate
- Măsuri de securitate
- vedea
- părea
- părea
- segmentarea
- trimite
- trimite
- trimis
- distinct
- serviciu
- Servicii
- sesiune
- Distribuie
- Pantaloni scurți
- Pe termen scurt
- să
- a arătat
- arătând
- parte
- semna
- semnat
- semnare
- Semne
- singur
- teren
- inteligent
- snoop
- So
- Software
- solid
- unele
- Cineva
- Curând
- vorbire
- specific
- împărţi
- standalone
- standard
- Începe
- Stat
- furate
- Stop
- Furtună
- tare
- astfel de
- sugera
- sugerează
- potrivit
- a presupus
- sigur
- SVG
- sistem
- sisteme
- Lua
- poveste
- echipă
- echipe
- tehnici de
- spune
- temporar
- zeci
- test
- decât
- acea
- lor
- Lor
- se
- apoi
- teorie
- Acolo.
- prin urmare
- Acestea
- ei
- lucruri
- crede
- acest
- aceste
- deşi?
- mii
- amenințare
- trei
- timp
- TLS
- la
- semn
- indicativele
- top
- Total
- urmări
- trafic
- tranziţie
- transparent
- călătorie
- încercat
- a declanșat
- adevărat
- încerca
- ÎNTORCĂ
- Două
- tipic
- în cele din urmă
- în
- care stau la baza
- unic
- deschide
- până la
- Actualizează
- actualizări
- pe
- întoarsă pe dos
- URL-ul
- us
- guvernul SUA
- utilizare
- utilizat
- Utilizator
- utilizatorii
- utilizări
- folosind
- Fixă
- de
- Victimă
- victime
- vital
- Vulnerabilitățile
- doresc
- a fost
- Cale..
- we
- web
- săptămână
- BINE
- bine cunoscut
- au fost
- Ce
- cand
- care
- OMS
- de ce
- Sălbatic
- voi
- ferestre
- ÎNŢELEPT
- cu
- fără
- Cuvânt
- cuvinte
- Apartamente
- de lucru
- îngrijorat
- ar
- scrie
- scrie cod
- Greșit
- an
- încă
- tu
- Ta
- te
- zephyrnet