В конце прошлой недели Microsoft опубликовала отчет под названием Анализ методов Storm-0558 для несанкционированного доступа к электронной почте.
В этом довольно драматическом документе команда безопасности компании раскрыла предысторию ранее необъяснимого взлома, в ходе которого был получен доступ к данным, включая текст электронной почты, вложения и многое другое:
от примерно 25 организаций, включая государственные учреждения и соответствующие учетные записи потребителей в общедоступном облаке.
Плохая новость, несмотря на то, что атаке подверглись только 25 организаций, заключается в том, что это киберпреступление, тем не менее, могло затронуть большое количество людей, учитывая, что в некоторых государственных органах США работает от десятков до сотен тысяч человек.
Хорошей новостью, по крайней мере для подавляющего большинства из нас, кто не был разоблачен, является то, что уловки и обходные пути, использованные в атаке, были достаточно специфичны, чтобы охотники за угрозами Microsft смогли их надежно отследить, поэтому итоговое количество 25 организаций действительно кажется полным хит-листом.
Проще говоря, если вы еще не слышали напрямую от Microsoft об участии в этом взломе (компания, очевидно, не опубликовала список жертв), то вы можете также предположить, что вы в безопасности.
Еще лучше, если здесь уместно слово «лучше», атака была основана на двух сбоях безопасности в серверных операциях Microsoft, а это означает, что обе уязвимости можно было исправить «внутри», без установки какого-либо программного обеспечения на стороне клиента или обновлений конфигурации.
Это означает, что нет никаких критических исправлений, которые вам нужно спешить и устанавливать самостоятельно.
Нулевые дни, которых не было
Нулевые дни, как вы знаете, — это дыры в безопасности, которые «плохие парни» обнаружили первыми и выяснили, как их использовать, таким образом, не оставляя свободных дней, в течение которых даже самые проницательные и хорошо информированные группы безопасности могли бы исправить их до атак.
Таким образом, с технической точки зрения эти две дыры Storm-0558 можно считать нулевыми днями, потому что мошенники активно эксплуатировали ошибки до того, как Microsoft смогла устранить связанные с ними уязвимости.
Однако, учитывая, что Microsoft тщательно избегала слова «нулевого дня» в своем собственном освещении, и учитывая, что устранение дыр не требовало от всех нас загрузки патчей, вы увидите, что мы назвали их в заголовке выше как полунулевые дни, и на этом мы оставим описание.
Тем не менее природа двух взаимосвязанных проблем безопасности в данном случае является жизненно важным напоминанием о трех вещах, а именно о том, что:
- Прикладная криптография сложна.
- Сегментация безопасности сложна.
- Охота за угрозами — это сложно.
Первые признаки злонамеренных действий показали, что мошенники проникают в данные Exchange жертв через Outlook Web Access (OWA), используя незаконно полученные токены аутентификации.
Как правило, токен проверки подлинности представляет собой временный веб-файл cookie, специфичный для каждой используемой вами онлайн-службы, который служба отправляет в ваш браузер после того, как вы подтвердили свою личность в соответствии с удовлетворительными стандартами.
Чтобы строго установить вашу личность в начале сеанса, вам может потребоваться ввести пароль и одноразовый код 2FA, предъявить криптографическое устройство «ключ доступа», такое как Yubikey, или разблокировать и вставить смарт-карту в читатель.
После этого файл cookie для проверки подлинности, выданный вашему браузеру, действует как краткосрочный пропуск, поэтому вам не нужно вводить пароль или предъявлять устройство безопасности снова и снова при каждом отдельном взаимодействии с сайтом.
Вы можете думать о начальном процессе входа в систему, как о предъявлении паспорта на стойке регистрации авиакомпании, а токен аутентификации — как о посадочном талоне, который позволяет вам войти в аэропорт и сесть в самолет на один конкретный рейс.
Иногда от вас может потребоваться подтвердить свою личность, снова предъявив свой паспорт, например, непосредственно перед посадкой в самолет, но часто показа одного посадочного талона будет достаточно, чтобы вы подтвердили свое «право быть там», когда вы совершаете поездку. путь вокруг воздушной части аэропорта.
Вероятные объяснения не всегда верны
Когда мошенники начинают появляться с чужим токеном аутентификации в HTTP-заголовках своих веб-запросов, одно из наиболее вероятных объяснений заключается в том, что злоумышленники уже внедрили вредоносное ПО на компьютер жертвы.
Если это вредоносное ПО предназначено для слежения за сетевым трафиком жертвы, оно обычно получает доступ к базовым данным после того, как они были подготовлены к использованию, но до того, как они были зашифрованы и отправлены.
Это означает, что мошенники могут отслеживать и красть жизненно важные данные частного просмотра, включая токены аутентификации.
Вообще говоря, злоумышленники больше не могут вынюхивать токены аутентификации, когда они путешествуют по Интернету, как они обычно могли примерно до 2010 года. Это потому, что каждый авторитетный онлайн-сервис в наши дни требует, чтобы трафик к и от вошедших в систему пользователей должен проходить через HTTPS, и только через HTTPS, сокращенно безопасный HTTP.
HTTPS использует TLS, сокращение от безопасность транспортного уровня, который делает то, что следует из его названия. Все данные строго зашифрованы, когда они покидают ваш браузер, но до того, как они попадают в сеть, и не расшифровываются до тех пор, пока не достигнут нужного сервера на другом конце. Тот же сквозной процесс скремблирования данных происходит в обратном порядке для данных, которые сервер отправляет обратно в своих ответах, даже если вы пытаетесь получить данные, которых не существует, и все, что сервер должен сообщить вам, это формальность. 404 Page not found
.
К счастью, охотники за угрозами Microsoft вскоре поняли, что мошеннические взаимодействия по электронной почте не сводились к проблеме, вызванной на стороне клиента сетевого подключения, предположение, которое отправило бы организации-жертвы на 25 отдельных погонь за дикими гусями в поисках вредоносного ПО, которого там не было.
Следующим наиболее вероятным объяснением является то, которое в теории легче исправить (потому что его можно исправить для всех за один раз), но на практике оно вызывает больше беспокойства у клиентов, а именно то, что мошенники каким-то образом скомпрометировали процесс создания аутентификации. токены в первую очередь.
Один из способов сделать это — взломать серверы, которые их генерируют, и внедрить бэкдор для создания действительного токена без предварительной проверки личности пользователя.
Другой способ, который, по-видимому, первоначально исследовала Microsoft, заключается в том, что злоумышленники смогли украсть достаточно данных с серверов аутентификации, чтобы создать мошеннические, но действительные токены аутентификации для себя.
Это означало, что злоумышленникам удалось украсть один из ключей криптографической подписи, который сервер аутентификации использует для штамповки «печати достоверности» на выпускаемых им токенах, чтобы сделать создание фальшивого токена практически невозможным для кого-либо. это пройдет проверку.
Используя безопасный закрытый ключ для добавления цифровой подписи к каждому выданному токену доступа, сервер аутентификации позволяет любому другому серверу в экосистеме проверять действительность получаемых токенов. Таким образом, сервер аутентификации может даже надежно работать в разных сетях и службах, даже не нуждаясь в совместном использовании (и регулярном обновлении) списка фактических, заведомо исправных токенов.
Взлом, который не должен был работать
В конечном итоге Microsoft определила, что мошеннические токены доступа в атаке Storm-0558 были законно подписаны, что, по-видимому, предполагало, что кто-то действительно похитил ключ подписи компании…
…но на самом деле это были не те жетоны.
Корпоративные учетные записи должны аутентифицироваться в облаке с использованием токенов Azure Active Directory (AD), но эти поддельные токены атаки были подписаны так называемым ключом MSA, сокращенно Счетом Microsoft, очевидно, что инициализм используется для обозначения автономных учетных записей потребителей, а не корпоративных учетных записей на основе AD.
Грубо говоря, мошенники чеканили фальшивые токены аутентификации, которые прошли проверку безопасности Microsoft, но эти токены были подписаны, как если бы пользователь входил в личную учетную запись Outlook.com, а не корпоративный пользователь, входящий в корпоративную учетную запись.
Одним словом, "Что?!!?!"
Судя по всему, мошенники не смогли украсть ключ подписи корпоративного уровня, только ключ потребительского уровня (это не унижение пользователей потребительского уровня, а просто мудрая криптографическая мера предосторожности, чтобы разделить две части экосистема).
Но протащив этот первый полунулевой день, а именно незаметным получением криптографического секрета Microsoft, мошенники, по-видимому, нашли второй полунулевой день, с помощью которого они могли выдать токен доступа, подписанный ключом учетной записи потребителя, который должен был сигнализировать «этот ключ здесь не принадлежит», как если бы вместо этого был токен, подписанный Azure AD.
Другими словами, даже несмотря на то, что мошенники застряли с неправильным типом ключа подписи для запланированной ими атаки, они, тем не менее, нашли способ обойти меры безопасности по принципу «разделяй и разделяй», которые должны были помешать работе их украденного ключа.
Больше плохих и хороших новостей
Плохая новость для Microsoft заключается в том, что это не единственный случай, когда компания была признана несостоятельной в отношении безопасности ключей подписи за последний год.
Ассоциация последний патч вторникДействительно, Microsoft с опозданием увидела, как Microsoft с опозданием предложила защиту из черного списка от множества мошеннических, зараженных вредоносным ПО драйверов ядра Windows, которые сам Редмонд подписал под эгидой своей программы Windows Hardware Developer Program.
Хорошей новостью является то, что, поскольку мошенники использовали токены доступа корпоративного типа, подписанные криптографическим ключом потребительского стиля, их мошеннические учетные данные аутентификации могли быть надежно обнаружены угрозами, как только команда безопасности Microsoft знала, что искать.
Используя жаргонный язык, Microsoft отмечает, что:
Использование неправильного ключа для подписи запросов позволило нашим следственным группам увидеть все запросы доступа субъектов, которые следовали этому шаблону как в наших корпоративных, так и в потребительских системах.
Использование неправильного ключа для подписи этой области утверждений было очевидным индикатором активности актора, поскольку ни одна система Microsoft не подписывает токены таким образом.
Проще говоря, обратная сторона того факта, что никто в Microsoft не знал об этом заранее (таким образом предотвращая заблаговременное исправление), по иронии судьбы привела к положительной стороне, заключающейся в том, что никто в Microsoft никогда не пытался написать код, работающий таким образом. .
А это, в свою очередь, означало, что мошенническое поведение в этой атаке можно было использовать как надежный, уникальный IoC или индикатор компрометации.
Мы полагаем, что именно поэтому Microsoft теперь с уверенностью заявляет, что она отследила каждый случай, когда были использованы эти двойные полунулевые дневные дыры, и, таким образом, ее список из 25 пострадавших клиентов является исчерпывающим.
Что делать?
Если Microsoft не связывалась с вами по этому поводу, мы думаем, что вы можете быть уверены, что вас это не коснулось.
А поскольку меры безопасности были применены внутри собственной облачной службы Microsoft (а именно, отказ от любых украденных ключей подписи MSA и закрытие лазейки, позволяющей использовать «неправильный тип ключа» для корпоративной аутентификации), вам не нужно карабкаться, чтобы установить любые патчи самостоятельно.
Однако, если вы программист, специалист по обеспечению качества, член красной/синей команды или иным образом вовлечены в ИТ, напомните себе о трех пунктах, которые мы отметили в начале этой статьи:
- Прикладная криптография сложна. Вам нужно не только выбрать правильные алгоритмы, но и безопасно их реализовать. Вам также необходимо правильно их использовать и управлять любыми криптографическими ключами, на которые опирается система, с надлежащей долгосрочной осторожностью.
- Сегментация безопасности сложна. Даже если вы думаете, что разделили сложную часть вашей экосистемы на две или более частей, как это сделала здесь Microsoft, вам нужно убедиться, что разделение действительно работает так, как вы ожидаете. Прощупайте и проверьте безопасность разделения самостоятельно, потому что, если вы не проверите это, мошенники обязательно это сделают.
- Охота за угрозами — это сложно. Первое и самое очевидное объяснение не всегда правильное или может быть не единственным. Не прекращайте охоту, когда у вас появится первое правдоподобное объяснение. Продолжайте до тех пор, пока вы не только определите фактические эксплойты, использованные в текущей атаке, но также обнаружите как можно больше других потенциально связанных причин, чтобы вы могли заблаговременно исправить их.
Процитируем известную фразу (и тот факт, что она верна, означает, что мы не беспокоимся о том, что это клише): Кибербезопасность — это путешествие, а не пункт назначения.
Не хватает времени или опыта для поиска угроз кибербезопасности? Беспокоитесь, что кибербезопасность в конечном итоге отвлечет вас от всех других вещей, которые вам нужно сделать?
Узнать больше о Управляемое обнаружение и реагирование Sophos:
Круглосуточный поиск угроз, обнаружение и реагирование ▶
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :имеет
- :является
- :нет
- :куда
- $UP
- 1
- 15%
- 25
- 2FA
- a
- в состоянии
- О нас
- об этом
- выше
- Absolute
- доступ
- Доступ
- Учетная запись
- Учетные записи
- приобретенный
- приобретение
- через
- активный
- Active Directory
- деятельность
- акты
- фактического соединения
- на самом деле
- Ad
- Добавить
- продвижение
- После
- снова
- против
- агентствах
- авиакомпания
- аэропорт
- алгоритмы
- Все
- разрешено
- Позволяющий
- в одиночестве
- уже
- причислены
- всегда
- an
- и
- любой
- кто угодно
- откуда угодно
- очевидный
- прикладной
- примерно
- МЫ
- около
- гайд
- AS
- предполагать
- предположение
- гарантия
- At
- атаковать
- нападки
- подлинности
- Аутентификация
- автор
- автоматический
- доступен
- избегать
- Лазурный
- назад
- Back-конец
- задняя дверь
- фон
- Фоновое изображение
- Плохой
- BE
- , так как:
- было
- до
- не являетесь
- Лучшая
- посадка
- органов
- граница
- изоферменты печени
- Дно
- браузер
- просмотр
- ошибки
- Группа
- но
- by
- CAN
- карта
- заботится
- осторожно
- случаев
- Причины
- Центр
- конечно
- проверка
- контроль
- Проверки
- Выберите
- Очистить
- клиент
- закрытие
- облако
- код
- цвет
- COM
- обычно
- Компания
- Компании
- полный
- комплекс
- Ослабленный
- компьютер
- уверенный
- Конфигурация
- связи
- считается
- потребитель
- печенье
- Корпоративное
- может
- чехол для варгана
- охват
- Создайте
- Создающий
- Полномочия
- Преступники
- критической
- Крюки
- криптографический
- криптография
- Текущий
- Клиенты
- киберпреступности
- Информационная безопасность
- данным
- день
- Дней
- сделка
- описание
- предназначенный
- стол
- назначение
- обнаружение
- определены
- Застройщик
- устройство
- DID
- различный
- Интернет
- непосредственно
- открытый
- Дисплей
- do
- документ
- приносит
- не
- Dont
- вниз
- скачать
- нижняя сторона
- драматично
- драйверы
- в течение
- каждый
- легче
- легко
- экосистема
- Еще
- зашифрованный
- конец
- впритык
- Английский
- достаточно
- Enter
- Предприятие
- озаглавленный
- установить
- Даже
- НИКОГДА
- Каждая
- все члены
- обмена
- существовать
- ожидать
- опыта
- объяснение
- Эксплуатировать
- Эксплуатируемый
- использует
- подвергаться
- факт
- не настоящие
- фигурный
- окончательный
- Во-первых,
- фиксированный
- фиксированной
- полет
- следует
- Что касается
- найденный
- и мошенническими
- от
- порождать
- получить
- данный
- Go
- будет
- хорошо
- Правительство
- мотыга
- было
- происходит
- Жесткий
- Аппаратные средства
- Есть
- имеющий
- Заголовки
- заголовок
- услышанный
- высота
- здесь
- Удар
- Отверстия
- зависать
- Как
- How To
- HTTP
- HTTPS
- Сотни
- охота
- идентифицированный
- Личность
- if
- осуществлять
- подразумеваемый
- in
- В том числе
- Индикаторные
- лиц
- начальный
- внутри
- устанавливать
- пример
- вместо
- предназначенных
- взаимодействие
- взаимодействие
- взаимосвязано
- Интернет
- в
- ходе расследования,
- вовлеченный
- Как ни странно
- Выпущен
- вопросы
- IT
- ЕГО
- саму трезвость
- путешествие
- JPG
- всего
- Сохранить
- Основные
- ключи
- Знать
- известный
- язык
- большой
- Фамилия
- слой
- наименее
- Оставлять
- уход
- привело
- оставил
- Lets
- такое как
- Вероятно
- Список
- каротаж
- Войти
- долгосрочный
- посмотреть
- искать
- лазейка
- сделанный
- Большинство
- сделать
- ДЕЛАЕТ
- вредоносных программ
- управлять
- управляемого
- многих
- Маржа
- макс-ширина
- Май..
- смысл
- означает
- означает,
- меры
- просто
- Microsoft
- может быть
- чеканка
- БОЛЕЕ
- самых
- должен
- имя
- а именно
- природа
- Необходимость
- нуждающихся
- потребности
- сеть
- сетевой трафик
- сетей
- сети и сервисы
- Тем не менее
- Новости
- нет
- "обычные"
- Заметки
- сейчас
- номер
- Очевидный
- of
- от
- предлагающий
- .
- on
- консолидировать
- ONE
- те,
- онлайн
- только
- Операционный отдел
- or
- Организации
- организации
- первоначально
- Другое
- в противном случае
- наши
- внешний
- Outlook
- за
- собственный
- страница
- часть
- части
- pass
- Прошло
- паспорта:
- Пароль
- мимо
- Патчи
- Патчи
- шаблон
- Пол
- Люди
- личного
- Часть
- запланированный
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- правдоподобный
- пожалуйста
- пунктов
- должность
- Блог
- потенциально
- практика
- подготовленный
- представить
- предупреждение
- предварительно
- частная
- Секретный ключ
- зонд
- Проблема
- проблемам
- процесс
- производит
- FitPartner™
- Программист
- защиту
- доказанный
- что такое варган?
- Открытое облако
- опубликованный
- Нажимать
- положил
- цену
- скорее
- доходит до
- читатель
- на самом деле
- Получать
- Red
- назвало
- регулярно
- Связанный
- относительный
- складская
- отчету
- уважаемый
- Запросы
- требовать
- обязательный
- требуется
- уважение
- Показали
- обратный
- правую
- торопить
- s
- то же
- видел
- сфера
- Время года
- Во-вторых
- Secret
- безопасный
- безопасно
- безопасность
- Меры безопасности
- посмотреть
- казаться
- казалось
- сегментация
- Отправить
- посылает
- послать
- отдельный
- обслуживание
- Услуги
- Сессия
- Поделиться
- Короткое
- краткосрочный
- должен
- показал
- показ
- сторона
- подпись
- подписанный
- подписание
- Признаки
- одинарной
- сайте
- умный
- сыщик
- So
- Software
- твердый
- некоторые
- Кто-то
- Скоро
- Говоря
- конкретный
- раскол
- автономные
- стандарт
- Начало
- Область
- украли
- Stop
- буря
- сильно
- такие
- предлагать
- Предлагает
- подходящее
- предполагаемый
- Убедитесь
- SVG
- система
- системы
- взять
- рассказ
- команда
- команды
- снижения вреда
- сказать
- временный
- десятки
- тестXNUMX
- чем
- который
- Ассоциация
- их
- Их
- сами
- тогда
- теория
- Там.
- следовательно
- Эти
- они
- вещи
- think
- этой
- те
- хоть?
- тысячи
- угроза
- три
- время
- TLS
- в
- знак
- Лексемы
- топ
- Всего
- трек
- трафик
- переход
- прозрачный
- путешествовать
- пыталась
- срабатывает
- правда
- стараться
- ОЧЕРЕДЬ
- два
- типично
- В конечном счете
- под
- лежащий в основе
- созданного
- отпереть
- до
- Обновление ПО
- Updates
- на
- Потенциал роста
- URL
- us
- правительство США
- использование
- используемый
- Информация о пользователе
- пользователей
- использования
- через
- Огромная
- с помощью
- Жертва
- жертвы
- жизненный
- Уязвимости
- желая
- законопроект
- Путь..
- we
- Web
- неделя
- ЧТО Ж
- известный
- были
- Что
- когда
- который
- КТО
- зачем
- Дикий
- будете
- окна
- WISE
- без
- Word
- слова
- Работа
- работает
- беспокоиться
- бы
- записывать
- написать код
- Неправильно
- год
- еще
- являетесь
- ВАШЕ
- себя
- зефирнет