Konec prejšnjega tedna je Microsoft objavil poročilo z naslovom Analiza tehnik Storm-0558 za nepooblaščen dostop do elektronske pošte.
V tem precej dramatičnem dokumentu je varnostna ekipa podjetja razkrila ozadje doslej nepojasnjenega vdora, pri katerem so dostopali do podatkov, vključno z besedilom e-pošte, prilogami in drugim:
iz približno 25 organizacij, vključno z vladnimi agencijami in povezanimi potrošniškimi računi v javnem oblaku.
Slaba novica, čeprav je bilo očitno napadenih le 25 organizacij, je, da je ta kibernetski kriminal morda vseeno prizadel veliko število posameznikov, glede na to, da nekateri vladni organi ZDA zaposlujejo od deset do sto tisoč ljudi.
Dobra novica, vsaj za veliko večino nas, ki nismo bili izpostavljeni, je, da so bili triki in obvodi, uporabljeni v napadu, dovolj specifični, da so jih lovci na grožnje Microsft lahko zanesljivo izsledili, tako da je končno skupno 25 organizacij res se zdi popoln seznam zadetkov.
Preprosto povedano, če še niste slišali neposredno od Microsofta, da ste del tega vdora (podjetje očitno ni objavilo seznama žrtev), potem lahko domnevate, da ste na čistem.
Še bolje, če je tukaj prava beseda boljši, se je napad zanašal na dve varnostni napaki v Microsoftovih zalednih operacijah, kar pomeni, da je bilo mogoče obe ranljivosti odpraviti "v hiši", ne da bi izrinili kakršne koli posodobitve programske opreme ali konfiguracije na strani odjemalca.
To pomeni, da ni nobenih kritičnih popravkov, ki bi jih morali pohiteti in namestiti sami.
Ničelni dnevi, ki jih ni bilo
Kot veste, so ničelni dnevi varnostne luknje, ki so jih slabi fantje prvi našli in se domislili, kako jih izkoristiti, tako da ni bilo na voljo nobenih dni, v katerih bi jih lahko celo najbolj vnete in najbolje obveščene varnostne ekipe zakrpale pred napadi.
Tehnično torej lahko ti dve luknji Storm-0558 štejemo za ničelni dnevi, ker so prevaranti hrošče zavzeto izkoriščali, preden se je Microsoftu uspelo spopasti z vključenimi ranljivostmi.
Vendar glede na to, da se je Microsoft skrbno izogibal besedi »zero-day« v svojem poročilu in glede na to, da popravljanje lukenj ni zahtevalo, da vsi prenesemo popravke, boste videli, da smo jih v zgornjem naslovu imenovali kot pol ničelnih dni, opis pa bomo pustili pri tem.
Kljub temu je narava dveh medsebojno povezanih varnostnih težav v tem primeru pomemben opomnik treh stvari, in sicer:
- Uporabna kriptografija je težka.
- Varnostna segmentacija je težka.
- Lov na grožnje je težak.
Prvi znaki zlorab so pokazali, da so se prevaranti prikradli v podatke Exchange žrtev prek spletnega dostopa Outlook (OWA) z uporabo nezakonito pridobljenih žetonov za preverjanje pristnosti.
Običajno je žeton za preverjanje pristnosti začasen spletni piškotek, specifičen za vsako spletno storitev, ki jo uporabljate, in ki ga storitev pošlje vašemu brskalniku, ko ste zadovoljivo dokazali svojo identiteto.
Če želite natančno ugotoviti svojo identiteto na začetku seje, boste morda morali vnesti geslo in enkratno kodo 2FA, predložiti kriptografsko »geslo«, kot je Yubikey, ali odkleniti in vstaviti pametno kartico v bralec.
Nato piškotek za preverjanje pristnosti, izdan vašemu brskalniku, deluje kot kratkoročna prepustnica, tako da vam ni treba znova in znova vnesti gesla ali predstaviti svoje varnostne naprave za vsako posamezno interakcijo s spletnim mestom.
Začetni postopek prijave si lahko predstavljate kot predložitev potnega lista na pultu za prijavo letalske družbe, žeton za preverjanje pristnosti pa kot vstopni kupon, ki vas popelje na letališče in na letalo za določen let.
Včasih boste morda morali znova potrditi svojo identiteto tako, da ponovno pokažete potni list, na primer tik preden vstopite na letalo, vendar bo pogosto dovolj, da pokažete samo vstopni kupon, da boste lahko pridobili svojo »pravico biti tam«, ko boste opravili okoli letaliških nadzorovanih delov letališča.
Verjetne razlage niso vedno pravilne
Ko se prevaranti začnejo pojavljati z žetonom za preverjanje pristnosti nekoga drugega v glavah HTTP svojih spletnih zahtev, je ena najverjetnejših razlag ta, da so kriminalci že vsadili zlonamerno programsko opremo v računalnik žrtve.
Če je ta zlonamerna programska oprema namenjena vohunjenju za žrtvinim omrežnim prometom, običajno vidi osnovne podatke, ko so pripravljeni za uporabo, vendar preden so šifrirani in poslani.
To pomeni, da lahko prevaranti vohljajo in ukradejo pomembne zasebne podatke brskanja, vključno z žetoni za preverjanje pristnosti.
Na splošno napadalci ne morejo več zavohati žetonov za preverjanje pristnosti, ko ti potujejo po internetu, kot so običajno lahko do približno leta 2010. To je zato, ker vsaka ugledna spletna storitev danes zahteva, da mora promet do in od prijavljenih uporabnikov potovati prek HTTPS , in samo prek HTTPS, okrajšava za varen HTTP.
HTTPS uporablja TLS, okrajšava za varnost transportne plasti, ki počne to, kar pove že njegovo ime. Vsi podatki so močno šifrirani, ko zapustijo vaš brskalnik, vendar preden pridejo v omrežje, in se ne dešifrirajo, dokler ne dosežejo predvidenega strežnika na drugem koncu. Enak postopek šifriranja podatkov od konca do konca se zgodi obratno za podatke, ki jih strežnik pošlje nazaj v svojih odgovorih, tudi če poskušate pridobiti podatke, ki ne obstajajo in je vse, kar vam mora strežnik povedati, nepomembno. 404 Page not found
.
Na srečo so Microsoftovi lovci na grožnje kmalu ugotovili, da goljufiva e-poštna interakcija ni bila posledica težave, ki se je sprožila na odjemalski strani omrežne povezave, predpostavka, ki bi organizacije žrtve poslala na 25 ločenih lovov na divje gosi, ki iščejo zlonamerno programsko opremo, ki ni bila ni tam.
Naslednja najverjetnejša razlaga je tista, ki jo je v teoriji lažje popraviti (ker jo je mogoče popraviti za vse naenkrat), v praksi pa je bolj zaskrbljujoča za stranke, in sicer, da so prevaranti nekako ogrozili postopek ustvarjanja avtentikacije žetoni na prvem mestu.
Eden od načinov za to bi bil vdreti v strežnike, ki jih ustvarjajo, in vstaviti stranska vrata za izdelavo veljavnega žetona, ne da bi prej preverili identiteto uporabnika.
Drug način, ki je očitno tisto, kar je Microsoft prvotno preiskoval, je, da so napadalci lahko ukradli dovolj podatkov iz strežnikov za preverjanje pristnosti, da so sami ustvarili goljufive, vendar veljavne žetone za preverjanje pristnosti.
To je pomenilo, da je napadalcem uspelo ukrasti enega od kriptografskih ključev za podpisovanje, ki jih strežnik za preverjanje pristnosti uporablja za vtisk "pečata veljavnosti" v žetone, ki jih izda, da bi bilo čim bolj nemogoče, da bi kdorkoli ustvaril ponarejen žeton. ki bi prestal preizkus.
Z uporabo varnega zasebnega ključa za dodajanje digitalnega podpisa vsakemu izdanemu žetonu dostopa strežnik za preverjanje pristnosti vsem drugim strežnikom v ekosistemu olajša preverjanje veljavnosti žetonov, ki jih prejme. Na ta način lahko strežnik za preverjanje pristnosti celo zanesljivo deluje v različnih omrežjih in storitvah, ne da bi mu bilo treba dati v skupno rabo (in ga redno posodabljati) seznam dejanskih, znano dobrih žetonov, ki lahko uhaja.
Vdor, ki naj ne bi deloval
Microsoft je na koncu ugotovil, da so bili lažni žetoni za dostop v napadu Storm-0558 zakonito podpisani, kar je nakazovalo, da je nekdo res odščipnil podpisni ključ podjetja ...
... vendar pravzaprav sploh niso bili prava vrsta žetonov.
Računi podjetij naj bi bili overjeni v oblaku z uporabo žetonov Azure Active Directory (AD), vendar so bili ti ponarejeni napadalni žetoni podpisani s tako imenovanim ključem MSA, okrajšava za Microsoftov račun, kar je očiten začetni izraz, ki se uporablja za samostojne potrošniške račune in ne za poslovne račune, ki temeljijo na AD.
Ohlapno rečeno, prevaranti so kovali ponarejene žetone za preverjanje pristnosti, ki so prestali Microsoftove varnostne preglede, vendar so bili ti žetoni podpisani, kot da bi se uporabnik prijavil v osebni račun Outlook.com, namesto da bi se korporativni uporabnik prijavil v račun podjetja.
z eno besedo "Kaj?!!?!"
Očitno prevaranti niso mogli ukrasti ključa za podpisovanje na ravni podjetja, ampak le ključa na ravni potrošnikov (to ni omalovaževanje uporabnikov na ravni potrošnikov, le moder kriptografski previdnostni ukrep za razdelitev in ločevanje dveh delov ekosistem).
Ko pa so prevaranti izvedli ta prvi polničelni dan, in sicer pridobitev Microsoftove kriptografske skrivnosti, ne da bi jih opazili, so očitno našli drugi polničelni dan, s pomočjo katerega so lahko posredovali žeton za dostop, podpisan s ključem potrošniškega računa, ki bi moral signalizirati »ta ključ ne sodi sem«, kot da bi šlo za žeton, podpisan s strani Azure AD.
Z drugimi besedami, čeprav so prevaranti obtičali z napačno vrsto podpisnega ključa za napad, ki so ga načrtovali, so kljub temu našli način, kako obiti varnostne ukrepe razdeli in loči, ki naj bi preprečili delovanje njihovega ukradenega ključa.
Več slabih in dobrih novic
Slaba novica za Microsoft je, da to ni edini primer, ko je bilo podjetje v preteklem letu ugotovljeno, da ne želi podpisati varnostnega ključa.
O najnovejši popravek v torek, je dejansko opazil, da je Microsoft z zamudo ponudil zaščito seznama blokiranih pred kopico lažnih gonilnikov jedra sistema Windows, okuženih z zlonamerno programsko opremo, ki jih je sam Redmond podpisal pod okrilje svojega programa za razvijalce strojne opreme Windows.
Dobra novica je, da so prevaranti uporabljali žetone za dostop v korporativnem slogu, podpisane s kriptografskim ključem v potrošniškem slogu, da bi lahko njihove lažne poverilnice za preverjanje pristnosti zanesljivo lovili grožnje, ko bi Microsoftova varnostna ekipa vedela, kaj iskati.
V žargonskem jeziku Microsoft ugotavlja, da:
Uporaba nepravilnega ključa za podpisovanje zahtev je našim preiskovalnim skupinam omogočila, da so videle vse zahteve za dostop akterjev, ki so sledile temu vzorcu v naših podjetniških in potrošniških sistemih.
Uporaba nepravilnega ključa za podpisovanje tega obsega trditev je bil očiten pokazatelj dejavnosti igralca, saj noben Microsoftov sistem ne podpisuje žetonov na ta način.
V bolj preprosti angleščini je slaba stran dejstva, da nihče pri Microsoftu ni vedel za to vnaprej (kar je preprečilo proaktivno popravljanje), vodila, ironično, v dobro stran, da nihče pri Microsoftu ni nikoli poskusil napisati kode, ki bi delovala na ta način. .
In to je posledično pomenilo, da bi lahko lopovsko vedenje v tem napadu uporabili kot zanesljiv, edinstven IoC ali indikator kompromisa.
Domnevamo, da je to razlog, zakaj je Microsoft zdaj samozavesten in trdi, da je izsledil vsak primer, kjer so bile izkoriščene te luknje z dvojno pol ničlo, in da je tako njegov seznam 25 prizadetih strank izčrpen.
Kaj storiti?
Če vas Microsoft glede tega ni kontaktiral, ste lahko prepričani, da to ni vplivalo na vas.
In ker so bili varnostni ukrepi uporabljeni v Microsoftovi lastni storitvi v oblaku (namreč zavrnitev vseh ukradenih ključev za podpisovanje MSA in zapiranje vrzeli, ki omogoča uporabo »napačne vrste ključa« za preverjanje pristnosti podjetja), vam ni treba brskati po morebitne popravke namestite sami.
Vendar, če ste programer, strokovnjak za zagotavljanje kakovosti, red teamer/blue teamer ali kako drugače vključeni v IT, se spomnite na tri točke, ki smo jih navedli na vrhu tega članka:
- Uporabna kriptografija je težka. Ni vam treba le izbrati pravih algoritmov in jih varno implementirati. Prav tako jih morate pravilno uporabljati in z ustrezno dolgoročno oskrbo upravljati vse kriptografske ključe, na katere se sistem zanaša.
- Varnostna segmentacija je težka. Tudi ko mislite, da ste kompleksen del svojega ekosistema razdelili na dva ali več delov, kot je tukaj naredil Microsoft, se morate prepričati, da ločitev res deluje, kot pričakujete. Preizkusite in preizkusite varnost ločitve sami, kajti če je ne preizkusite vi, jo bodo prevaranti zagotovo naredili.
- Lov na grožnje je težak. Prva in najbolj očitna razlaga ni vedno prava ali morda ni edina. Ne nehajte iskati, ko dobite prvo verodostojno razlago. Nadaljujte, dokler ne le identificirate dejanskih podvigov, uporabljenih v trenutnem napadu, ampak tudi odkrijete čim več drugih potencialno povezanih vzrokov, tako da jih lahko proaktivno popravite.
Če citiram dobro znan stavek (in dejstvo, da je resničen, pomeni, da nas ne skrbi, da bi bil kliše): Kibernetska varnost je potovanje, ne cilj.
Vam primanjkuje časa ali strokovnega znanja za lov na grožnje kibernetski varnosti? Vas skrbi, da vas bo kibernetska varnost na koncu odvrnila od vseh drugih stvari, ki jih morate početi?
Več o tem Upravljano odkrivanje in odziv Sophos:
24/7 lov na grožnje, odkrivanje in odziv ▶
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
- vir: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- :ima
- : je
- :ne
- :kje
- $GOR
- 1
- 15%
- 25
- 2FA
- a
- Sposobna
- O meni
- o IT
- nad
- absolutna
- dostop
- dostopna
- Račun
- računi
- pridobljenih
- pridobitev
- čez
- aktivna
- Active Directory
- dejavnost
- aktov
- dejanska
- dejansko
- Ad
- dodajte
- napredovanje
- po
- spet
- proti
- agencije
- letalski prevoznik
- letališče
- algoritmi
- vsi
- dovoljene
- Dovoli
- sam
- že
- Prav tako
- vedno
- an
- in
- kaj
- kdo
- kjerkoli
- očitno
- uporabna
- približno
- SE
- okoli
- članek
- AS
- domnevati
- predpostavka
- Zagotavljanje
- At
- napad
- Napadi
- overjena
- Preverjanje pristnosti
- Avtor
- avto
- Na voljo
- izognili
- Azure
- nazaj
- Back-end
- Zakulisni
- ozadje
- ozadja, slike
- Slab
- BE
- ker
- bilo
- pred
- počutje
- Boljše
- vkrcanje
- Organi
- meja
- tako
- Bottom
- brskalnik
- Brskanje
- hrošči
- Bunch
- vendar
- by
- CAN
- kartice
- ki
- previdno
- primeru
- vzroki
- center
- Zagotovo
- preveriti
- preverjanje
- Pregledi
- Izberite
- jasno
- stranke
- zapiranje
- Cloud
- Koda
- barva
- COM
- pogosto
- podjetje
- Podjetja
- dokončanje
- kompleksna
- Ogroženo
- računalnik
- Prepričani
- konfiguracija
- povezava
- šteje
- Potrošnik
- piškotek
- Corporate
- bi
- pokrov
- pokritost
- ustvarjajo
- Ustvarjanje
- Mandatno
- Kriminalci
- kritično
- Crooks
- kriptografijo
- kriptografija
- Trenutna
- Stranke, ki so
- kibernetski kriminaliteti
- Cybersecurity
- datum
- dan
- Dnevi
- ponudba
- opis
- zasnovan
- miza
- destinacija
- Odkrivanje
- določi
- Razvojni
- naprava
- DID
- drugačen
- digitalni
- neposredno
- odkril
- zaslon
- do
- dokument
- ne
- Ne
- dont
- navzdol
- prenesi
- slaba stran
- dramatično
- vozniki
- med
- vsak
- lažje
- lahka
- ekosistem
- Drugače
- E-naslov
- šifriran
- konec
- konec koncev
- Angleščina
- dovolj
- Vnesite
- Podjetje
- Z naslovom
- vzpostaviti
- Tudi
- VEDNO
- Tudi vsak
- vsi
- Izmenjava
- obstajajo
- pričakovati
- strokovno znanje
- Razlaga
- Izkoristite
- Exploited
- izkorišča
- izpostavljena
- Dejstvo
- ponaredek
- ugotovil
- končna
- prva
- fiksna
- Všita
- let
- sledili
- za
- je pokazala,
- goljufiva
- iz
- ustvarjajo
- dobili
- dana
- Go
- dogaja
- dobro
- vlada
- kramp
- imel
- se zgodi
- Trdi
- strojna oprema
- Imajo
- ob
- Glave
- naslov
- Slišal
- višina
- tukaj
- hit
- Luknje
- hover
- Kako
- Kako
- http
- HTTPS
- Stotine
- Lov
- identificirati
- identiteta
- if
- izvajati
- implicirano
- in
- Vključno
- Kazalec
- posamezniki
- začetna
- v notranjosti
- namestitev
- primer
- Namesto
- namenjen
- interakcije
- interakcije
- medsebojno povezani
- Internet
- v
- preiskava
- vključeni
- Ironično
- Izdala
- Vprašanja
- IT
- ITS
- sam
- Potovanje
- jpg
- samo
- Imejte
- Ključne
- tipke
- Vedite
- znano
- jezik
- velika
- Zadnja
- plast
- vsaj
- pustite
- odhodu
- Led
- levo
- Lets
- kot
- Verjeten
- Seznam
- sečnja
- prijava
- dolgoročna
- Poglej
- si
- vrzel
- je
- Večina
- Znamka
- IZDELA
- zlonamerna programska oprema
- upravljanje
- upravlja
- več
- Marža
- max širine
- Maj ..
- kar pomeni,
- pomeni
- pomenilo
- ukrepe
- zgolj
- Microsoft
- morda
- kovanje
- več
- Najbolj
- morajo
- Ime
- in sicer
- Narava
- Nimate
- potrebujejo
- potrebe
- mreža
- omrežni promet
- omrežij
- omrežja in storitve
- Kljub temu
- novice
- št
- normalno
- Opombe
- zdaj
- Številka
- Očitna
- of
- off
- ponujanje
- pogosto
- on
- enkrat
- ONE
- tiste
- na spletu
- samo
- operacije
- or
- Organizacije
- organizacije
- originalno
- Ostalo
- drugače
- naši
- ven
- Outlook
- več
- lastne
- Stran
- del
- deli
- mimo
- opravil
- potni list
- Geslo
- preteklosti
- Patch
- Obliži
- Vzorec
- paul
- ljudje
- Osebni
- Kraj
- načrtovano
- platon
- Platonova podatkovna inteligenca
- PlatoData
- verjetno
- prosim
- točke
- Stališče
- Prispevkov
- potencialno
- praksa
- pripravljeni
- predstaviti
- preprečevanje
- prej
- zasebna
- zasebni ključ
- Sonda
- problem
- Težave
- Postopek
- proizvodnjo
- Program
- Programmer
- zaščita
- dokazano
- javnega
- Javni oblak
- objavljeno
- Potiskanje
- dal
- kakovost
- kvota
- precej
- Doseže
- Bralec
- res
- prejeti
- Rdeča
- besedilu
- redno
- povezane
- relativna
- zanesljiv
- poročilo
- ugledne
- zahteva
- zahteva
- obvezna
- zahteva
- spoštovanje
- Razkrito
- nazaj
- Pravica
- hiteti
- s
- Enako
- Videl
- Obseg
- Sezona
- drugi
- skrivnost
- zavarovanje
- Varno
- varnost
- Varnostni ukrepi
- glej
- zdi se
- zdelo
- segmentacija
- pošljite
- pošlje
- poslan
- ločena
- Storitev
- Storitve
- Zasedanje
- Delite s prijatelji, znanci, družino in partnerji :-)
- Kratke Hlače
- kratkoročno
- shouldnt
- je pokazala,
- Prikaz
- strani
- podpisati
- podpisano
- podpis
- Znaki
- sam
- spletna stran
- pametna
- Snoop
- So
- Software
- trdna
- nekaj
- nekdo
- Kmalu
- gledano
- specifična
- po delih
- samostojna
- standardna
- Začetek
- Država
- ukradeno
- stop
- Storm
- Močno
- taka
- predlagajte
- Predlaga
- primerna
- naj
- Preverite
- SVG
- sistem
- sistemi
- Bodite
- zgodba
- skupina
- Skupine
- tehnike
- povej
- začasna
- deset
- Test
- kot
- da
- O
- njihove
- Njih
- sami
- POTEM
- Teorija
- Tukaj.
- zato
- te
- jih
- stvari
- mislim
- ta
- tisti,
- čeprav?
- tisoče
- Grožnja
- 3
- čas
- TLS
- do
- žeton
- Boni
- vrh
- Skupaj za plačilo
- sledenje
- Prometa
- Prehod
- pregleden
- potovanja
- Poskušal
- sprožilo
- Res
- poskusite
- OBRAT
- dva
- tipično
- Konec koncev
- pod
- osnovni
- edinstven
- odklepanje
- dokler
- Nadgradnja
- posodobitve
- naprej
- Upside
- URL
- us
- nas vlada
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporablja
- uporabo
- Popravljeno
- preko
- Žrtva
- žrtve
- ključnega pomena
- Ranljivosti
- želim
- je
- način..
- we
- web
- teden
- Dobro
- dobro znana
- so bili
- Kaj
- kdaj
- ki
- WHO
- zakaj
- Wild
- bo
- okna
- MODER
- z
- brez
- beseda
- besede
- delo
- deluje
- Skrbi
- bi
- pisati
- napisati kodo
- Napačen
- leto
- še
- jo
- Vaša rutina za
- sami
- zefirnet