I slutet av förra veckan publicerade Microsoft en rapport med titeln Analys av Storm-0558-tekniker för obehörig e-poståtkomst.
I detta ganska dramatiska dokument avslöjade företagets säkerhetsteam bakgrunden till ett tidigare oförklarat hack där data inklusive e-posttext, bilagor med mera nås:
från cirka 25 organisationer, inklusive statliga myndigheter och relaterade konsumentkonton i det offentliga molnet.
The bad news, even though only 25 organisations were apparently attacked, is that this cybercrime may nevertheless have affected a large number of individuals, given that some US government bodies employ anywhere from tens to hundreds of thousands of people.
De goda nyheterna, åtminstone för de allra flesta av oss som inte blev utsatta, är att tricken och förbikopplingarna som användes i attacken var tillräckligt specifika för att Microsft-hotjägare kunde spåra dem på ett tillförlitligt sätt, så den slutliga summan av 25 organisationer verkar verkligen vara en komplett träfflista.
Enkelt uttryckt, om du ännu inte har hört direkt från Microsoft om att vara en del av detta hack (företaget har uppenbarligen inte publicerat en lista över offer), så kan du lika gärna anta att du är i klartext.
Ännu bättre, om bättre är det rätta ordet här, förlitade sig attacken på två säkerhetsbrister i Microsofts back-end-operationer, vilket innebär att båda sårbarheterna kunde fixas "in house", utan att trycka ut någon mjukvara eller konfigurationsuppdateringar på klientsidan.
Det betyder att det inte finns några kritiska patchar som du behöver skynda dig ut och installera själv.
Nolldagarna som inte var det
Nolldagar, som ni vet, är säkerhetshål som skurkarna hittade först och kom på hur de skulle utnyttja, och lämnade alltså inga dagar tillgängliga under vilka även de mest angelägna och bäst informerade säkerhetsteamen kunde ha åtgärdat innan attackerna.
Tekniskt sett kan därför dessa två Storm-0558-hål betraktas som noll dagar, eftersom skurkarna flitigt utnyttjade buggarna innan Microsoft kunde hantera de inblandade sårbarheterna.
Men med tanke på att Microsoft noggrant undvek ordet "zero-day" i sin egen täckning, och med tanke på att åtgärden av hålen inte krävde att vi alla laddade ner patchar, kommer du att se att vi hänvisade till dem i rubriken ovan som halvnoll dagar, och vi lämnar beskrivningen där.
Icke desto mindre är karaktären av de två sammankopplade säkerhetsproblemen i detta fall en viktig påminnelse om tre saker, nämligen att:
- Tillämpad kryptografi är svårt.
- Säkerhetssegmentering är svårt.
- Hotjakt är svårt.
De första tecknen på illdåd visade skurkar som smög sig in i offrens Exchange-data via Outlook Web Access (OWA), med hjälp av olagligt förvärvade autentiseringstokens.
Vanligtvis är en autentiseringstoken en tillfällig webbcookie, specifik för varje onlinetjänst du använder, som tjänsten skickar till din webbläsare när du har bevisat din identitet till en tillfredsställande standard.
För att fastställa din identitet starkt i början av en session kan du behöva ange ett lösenord och en engångskod för 2FA, för att presentera en kryptografisk "lösenordsnyckel"-enhet som en Yubikey, eller för att låsa upp och sätta in ett smartkort i en läsare.
Därefter fungerar autentiseringscookien som skickas till din webbläsare som ett korttidspass så att du inte behöver ange ditt lösenord, eller att presentera din säkerhetsenhet, om och om igen för varje enskild interaktion du har med webbplatsen.
Du kan tänka på den första inloggningsprocessen som att visa upp ditt pass vid ett flygbolags incheckningsdisk, och autentiseringstoken som boardingkortet som låter dig komma in på flygplatsen och till planet för en specifik flygning.
Sometimes you might be required to reaffirm your identity by showing your passport again, such as just before you get on the plane, but often showing the boarding card alone will be enough for you to establish your “right to be there” as you make your way around the airside parts of the airport.
Troliga förklaringar är inte alltid rätt
När skurkar börjar dyka upp med någon annans autentiseringstoken i HTTP-huvudena på deras webbförfrågningar, är en av de mest troliga förklaringarna att brottslingarna redan har implanterat skadlig programvara på offrets dator.
Om den skadliga programvaran är utformad för att spionera på offrets nätverkstrafik, får den vanligtvis se underliggande data efter att den har förberetts för användning, men innan den har krypterats och skickats ut.
Det betyder att skurkarna kan snoka på och stjäla viktig privat surfdata, inklusive autentiseringstokens.
Generellt sett kan angripare inte sniffa upp autentiseringstokens när de reser över internet längre, vilket de vanligtvis kunde förrän omkring 2010. Det beror på att varje ansedd onlinetjänst idag kräver att trafik till och från inloggade användare måste resa via HTTPS , och endast via HTTPS, förkortning för säker HTTP.
HTTPS använder TLS, förkortning för transportlagers säkerhet, som gör vad namnet antyder. All data är starkt krypterad när den lämnar din webbläsare men innan den kommer in i nätverket och dekrypteras inte förrän den når den avsedda servern i andra änden. Samma datakrypteringsprocess från början till slut sker omvänt för data som servern skickar tillbaka i sina svar, även om du försöker hämta data som inte finns och allt som servern behöver berätta för dig är en slentrianmässig 404 Page not found
.
Lyckligtvis insåg Microsofts hotjägare snart att de bedrägliga e-postinteraktionerna inte berodde på ett problem som utlöstes på klientsidan av nätverksanslutningen, ett antagande som skulle ha skickat offrets organisationer iväg på 25 separata vildgåsjakter för att leta efter skadlig programvara som inte inte där.
Den näst mest troliga förklaringen är en som i teorin är lättare att fixa (eftersom den kan fixas för alla på en gång), men i praktiken är mer alarmerande för kunderna, nämligen att skurkarna på något sätt har äventyrat processen att skapa autentisering tokens i första hand.
Ett sätt att göra detta skulle vara att hacka sig in på servrarna som genererar dem och att implantera en bakdörr för att producera en giltig token utan att först kontrollera användarens identitet.
Ett annat sätt, som uppenbarligen är vad Microsoft ursprungligen undersökte, är att angriparna kunde stjäla tillräckligt med data från autentiseringsservrarna för att generera bedrägliga men giltiga autentiseringstokens för sig själva.
Detta antydde att angriparna hade lyckats stjäla en av de kryptografiska signeringsnycklarna som autentiseringsservern använder för att stämpla ett "giltighetsstämpel" i de tokens den utfärdar, för att göra det så bra som omöjligt för någon att skapa en falsk token som skulle klara uppbådet.
Genom att använda en säker privat nyckel för att lägga till en digital signatur till varje utfärdad åtkomsttoken, gör en autentiseringsserver det enkelt för alla andra servrar i ekosystemet att kontrollera giltigheten av de tokens som de tar emot. På så sätt kan autentiseringsservern till och med fungera på ett tillförlitligt sätt över olika nätverk och tjänster utan att någonsin behöva dela (och regelbundet uppdatera) en läckbar lista över faktiska, välkända tokens.
Ett hack som inte skulle fungera
Microsoft ultimately determined that the rogue access tokens in the Storm-0558 attack were legitimately signed, which seemed to suggest that someone had indeed pinched a company signing key…
…men de var faktiskt inte alls rätt sorts tokens.
Företagskonton är tänkta att autentiseras i molnet med Azure Active Directory (AD)-tokens, men dessa falska attacktokens signerades med en så kallad MSA-nyckel, en förkortning av Microsoft konto, which is apparent the initialism used to refer to standalone consumer accounts rather than AD-based corporate ones.
Löst talat, präglade skurkarna falska autentiseringstokens som klarade Microsofts säkerhetskontroller, men dessa tokens signerades som för en användare som loggar in på ett personligt Outlook.com-konto istället för för en företagsanvändare som loggar in på ett företagskonto.
I ett ord, "Vad?!!?!"
Tydligen kunde skurkarna inte stjäla en signeringsnyckel på företagsnivå, bara en på konsumentnivå (det är inte en förringelse av användare på konsumentnivå, bara en klok kryptografisk försiktighetsåtgärd för att dela upp och separera de två delarna av ekosystem).
Men efter att ha klarat av denna första halvnolldag, nämligen att skaffa en Microsofts kryptografisk hemlighet utan att bli märkt, hittade skurkarna uppenbarligen en andra halvnolldag med hjälp av vilken de kunde lämna ut en åtkomsttoken signerad med en konsumentkontonyckel som borde ha signalerat "den här nyckeln hör inte hemma här" som om det vore en Azure AD-signerad token istället.
Med andra ord, även om skurkarna satt fast med fel sorts signeringsnyckel för attacken de hade planerat, hittade de ändå ett sätt att kringgå de dela-och-separera säkerhetsåtgärderna som var tänkta att stoppa deras stulna nyckel från att fungera.
Fler dåliga och goda nyheter
De dåliga nyheterna för Microsoft är att detta inte är den enda gången företaget har befunnits vara bristfälligt när det gäller signering av nyckelsäkerhet under det senaste året.
Smakämnen senaste patch tisdag, faktiskt, såg Microsoft försenat erbjuda blocklistskydd mot ett gäng oseriösa, malware-infekterade Windows-kärndrivrutiner som Redmond själv har signerat under beskydd av sitt Windows Hardware Developer Program.
Den goda nyheten är att eftersom skurkarna använde företagsliknande åtkomsttokens signerade med en kryptografisk nyckel i konsumentstil, kunde deras falska autentiseringsuppgifter tillförlitligt hotjagas när Microsofts säkerhetsteam visste vad de skulle leta efter.
På ett jargongrikt språk noterar Microsoft att:
Användningen av en felaktig nyckel för att signera förfrågningarna gjorde att våra utredningsteam kunde se alla förfrågningar om aktörsåtkomst som följde detta mönster i både våra företags- och konsumentsystem.
Användning av den felaktiga nyckeln för att underteckna denna omfattning av påståenden var en uppenbar indikator på aktörsaktiviteten eftersom inget Microsoft-system signerar tokens på detta sätt.
På enklare engelska ledde baksidan av det faktum att ingen på Microsoft visste om detta i förväg (och därmed förhindrade att det lappades proaktivt) ironiskt nog till uppsidan att ingen på Microsoft någonsin hade försökt skriva kod för att fungera på det sättet .
Och det innebar i sin tur att det oseriösa beteendet i denna attack kunde användas som en pålitlig, unik IoC, eller indikator på kompromiss.
Det, antar vi, är anledningen till att Microsoft nu känner sig säkra på att kunna konstatera att de har spårat varje tillfälle där dessa dubbla-halv-noll-dagarshål utnyttjades, och att dess 25-starka lista över berörda kunder är uttömmande.
Vad göra?
Om du inte har kontaktats av Microsoft om detta, tror vi att du kan vara säker på att du inte påverkades.
Och eftersom säkerhetsåtgärderna har tillämpats i Microsofts egen molntjänst (nämligen förneka alla stulna MSA-signeringsnycklar och täppa kryphålet så att "fel sorts nyckel" kan användas för företagsautentisering), behöver du inte klämma till installera eventuella patchar själv.
Men om du är en programmerare, en kvalitetssäkringsutövare, en röd teamer/blå teamer eller på annat sätt involverad i IT, vänligen påminn dig själv om de tre punkter vi gjorde överst i den här artikeln:
- Tillämpad kryptografi är svårt. Du behöver inte bara välja rätt algoritmer och implementera dem säkert. Du måste också använda dem korrekt och hantera eventuella kryptografiska nycklar som systemet förlitar sig på med lämplig långtidsvård.
- Säkerhetssegmentering är svårt. Även när du tror att du har delat upp en komplex del av ditt ekosystem i två eller flera delar, som Microsoft gjorde här, måste du se till att separationen verkligen fungerar som du förväntar dig. Undersök och testa säkerheten för separationen själv, för om du inte testar det kommer skurkarna säkert att göra det.
- Hotjakt är svårt. Den första och mest uppenbara förklaringen är inte alltid den rätta, eller kanske inte den enda. Sluta inte jaga när du har din första rimliga förklaring. Fortsätt tills du inte bara har identifierat de faktiska utnyttjandena som används i den aktuella attacken, utan också upptäckt så många andra potentiellt relaterade orsaker du kan, så att du kan patcha dem proaktivt.
För att citera en välkänd fras (och det faktum att det är sant betyder att vi inte är oroliga för att det är en kliché): Cybersäkerhet är en resa, inte en destination.
Brist på tid eller expertis för att ta hand om jakt på cybersäkerhetshot? Orolig för att cybersäkerhet kommer att distrahera dig från alla andra saker du behöver göra?
Läs mer om Sophos Managed Detection and Response:
24/7 hotjakt, upptäckt och respons ▶
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- : har
- :är
- :inte
- :var
- $UPP
- 1
- 15%
- 25
- 2FA
- a
- Able
- Om oss
- om det
- ovan
- Absolut
- tillgång
- Accessed
- Konto
- konton
- förvärvade
- förvärvande
- tvärs
- aktiv
- Active Directory
- aktivitet
- handlingar
- faktiska
- faktiskt
- Ad
- lägga till
- avancera
- Efter
- igen
- mot
- byråer
- flygbolaget
- flygplats
- algoritmer
- Alla
- tillåts
- tillåta
- ensam
- redan
- också
- alltid
- an
- och
- vilken som helst
- någon
- var som helst
- skenbar
- tillämpas
- cirka
- ÄR
- runt
- Artikeln
- AS
- utgå ifrån
- Antagandet
- försäkran
- At
- attackera
- Attacker
- authenticated
- Autentisering
- Författaren
- bil
- tillgänglig
- undvek
- Azure
- tillbaka
- Back-end
- bakdörr
- bakgrund
- bakgrund-bild
- Badrum
- BE
- därför att
- varit
- innan
- Där vi får lov att vara utan att konstant prestera,
- Bättre
- ombordstigning
- organ
- gränsen
- båda
- Botten
- webbläsare
- Bläddrar
- fel
- Bunch
- men
- by
- KAN
- kortet
- vilken
- försiktigt
- Vid
- Orsakerna
- Centrum
- säkerligen
- ta
- kontroll
- Kontroller
- Välja
- klar
- klient
- stängning
- cloud
- koda
- färg
- COM
- vanligen
- företag
- Företagets
- fullborda
- komplex
- Äventyras
- dator
- säker
- konfiguration
- anslutning
- anses
- Konsumenten
- kaka
- Företag
- kunde
- täcka
- täckning
- skapa
- Skapa
- referenser
- brottslingar
- kritisk
- Crooks
- kryptografisk
- kryptografi
- Aktuella
- Kunder
- cyberbrottslighet
- Cybersäkerhet
- datum
- dag
- Dagar
- behandla
- beskrivning
- utformade
- skrivbord
- destination
- Detektering
- bestämd
- Utvecklare
- anordning
- DID
- olika
- digital
- direkt
- upptäckt
- Visa
- do
- dokumentera
- gör
- inte
- inte
- ner
- ladda ner
- nackdelen
- dramatiskt
- chaufförer
- under
- varje
- lättare
- lätt
- ekosystemet
- Annars
- krypterad
- änden
- början till slut
- Engelska
- tillräckligt
- ange
- Företag
- med titeln
- etablera
- Även
- NÅGONSIN
- Varje
- alla
- utbyta
- existerar
- förvänta
- expertis
- förklaring
- Exploit
- utnyttjas
- bedrifter
- utsatta
- Faktum
- fejka
- figured
- slutlig
- Förnamn
- Fast
- fixerad
- flyg
- följt
- För
- hittade
- bedräglig
- från
- generera
- skaffa sig
- ges
- Go
- kommer
- god
- Regeringen
- hacka
- hade
- händer
- Hård
- hårdvara
- Har
- har
- headers
- rubrik
- hört
- höjd
- här.
- Träffa
- Hål
- hovring
- Hur ser din drömresa ut
- How To
- http
- HTTPS
- Hundratals
- Jakt
- identifierade
- Identitet
- if
- genomföra
- underförstådd
- in
- Inklusive
- Indikator
- individer
- inledande
- inuti
- installera
- exempel
- istället
- avsedd
- interaktion
- interaktioner
- sammankopplade
- Internet
- in
- Undersökningen
- involverade
- Ironiskt
- Utfärdad
- problem
- IT
- DESS
- sig
- resa
- jpg
- bara
- Ha kvar
- Nyckel
- nycklar
- Vet
- känd
- språk
- Large
- Efternamn
- lager
- t minst
- Lämna
- lämnar
- Led
- vänster
- Lets
- tycka om
- sannolikt
- Lista
- skogsavverkning
- logga in
- lång sikt
- se
- du letar
- kryphål
- gjord
- Majoritet
- göra
- GÖR
- malware
- hantera
- förvaltade
- många
- Marginal
- max-bredd
- Maj..
- betyder
- betyder
- menas
- åtgärder
- endast
- Microsoft
- kanske
- präglingen
- mer
- mest
- måste
- namn
- nämligen
- Natur
- Behöver
- behöver
- behov
- nät
- nätverkstrafik
- nätverk
- nätverk och tjänster
- Icke desto mindre
- nyheter
- Nej
- normala
- Anmärkningar
- nu
- antal
- Uppenbara
- of
- sänkt
- erbjuda
- Ofta
- on
- gång
- ONE
- ettor
- nätet
- endast
- Verksamhet
- or
- organisationer
- organisationer
- ursprungligen
- Övriga
- annat
- vår
- ut
- utsikterna
- över
- egen
- sida
- del
- reservdelar till din klassiker
- passera
- Godkänd
- pass
- Lösenord
- Tidigare
- Lappa
- Plåster
- Mönster
- paul
- Personer
- personlig
- Plats
- planeras
- plato
- Platon Data Intelligence
- PlatonData
- plausibel
- snälla du
- poäng
- placera
- inlägg
- potentiellt
- praktiken
- beredd
- presentera
- förebyggande
- tidigare
- privat
- privat nyckel
- sond
- Problem
- problem
- process
- producera
- Program
- Programmerare
- skydd
- visat
- allmän
- Offentligt moln
- publicerade
- Tryckande
- sätta
- kvalitet
- citera
- snarare
- når
- Läsare
- verkligen
- motta
- Red
- avses
- regelbundet
- relaterad
- relativ
- pålitlig
- rapport
- ansedda
- förfrågningar
- kräver
- Obligatorisk
- Kräver
- avseende
- avslöjade
- vända
- höger
- rusa
- s
- Samma
- såg
- omfattning
- Säsong
- Andra
- Secret
- säkra
- säkert
- säkerhet
- Säkerhetsåtgärder
- se
- verka
- verkade
- segmentering
- sända
- sänder
- skickas
- separat
- service
- Tjänster
- session
- Dela
- Kort
- kortsiktigt
- skall
- visade
- visar
- sida
- signera
- signerad
- signering
- Tecken
- enda
- webbplats
- smarta
- snoop
- So
- Mjukvara
- fast
- några
- någon
- Alldeles strax
- tala
- specifik
- delas
- fristående
- standard
- starta
- Ange
- stulna
- Sluta
- Storm
- starkt
- sådana
- föreslå
- Föreslår
- lämplig
- förment
- säker
- SVG
- system
- System
- Ta
- saga
- grupp
- lag
- tekniker
- tala
- temporär
- tiotals
- testa
- än
- den där
- Smakämnen
- deras
- Dem
- sig själva
- sedan
- Teorin
- Där.
- därför
- Dessa
- de
- saker
- tror
- detta
- de
- fastän?
- tusentals
- hot
- tre
- tid
- TLS
- till
- token
- tokens
- topp
- Totalt
- spår
- trafik
- övergång
- transparent
- färdas
- försökte
- triggas
- sann
- prova
- SVÄNG
- två
- typiskt
- Ytterst
- under
- underliggande
- unika
- låsa
- tills
- Uppdatering
- Uppdateringar
- på
- upside
- URL
- us
- USAs regering
- användning
- Begagnade
- Användare
- användare
- användningar
- med hjälp av
- Omfattande
- via
- Victim
- offer
- avgörande
- sårbarheter
- önskar
- var
- Sätt..
- we
- webb
- vecka
- VÄL
- ALLBEKANT
- były
- Vad
- när
- som
- VEM
- varför
- Vild
- kommer
- fönster
- KLOK
- med
- utan
- ord
- ord
- Arbete
- arbetssätt
- orolig
- skulle
- skriva
- skriva kod
- Fel
- år
- ännu
- dig
- Din
- själv
- zephyrnet