Наприкінці минулого тижня Microsoft опублікувала звіт під назвою Аналіз прийомів Storm-0558 для несанкціонованого доступу до електронної пошти.
У цьому досить драматичному документі команда безпеки компанії розкрила передісторію незрозумілого раніше злому, під час якого було отримано доступ до даних, включаючи текст електронної пошти, вкладення тощо:
від приблизно 25 організацій, включаючи державні установи та пов’язані облікові записи споживачів у загальнодоступній хмарі.
The bad news, even though only 25 organisations were apparently attacked, is that this cybercrime may nevertheless have affected a large number of individuals, given that some US government bodies employ anywhere from tens to hundreds of thousands of people.
Хороша новина, принаймні для переважної більшості з нас, кого не викрили, полягає в тому, що трюки та засоби обходу, використані під час атаки, були достатньо специфічними, щоб мисливці за загрозами Microsft змогли їх надійно відстежити, тож остаточна загальна кількість 25 організацій справді здається повним хіт-листом.
Простіше кажучи, якщо ви ще не дізналися безпосередньо від Microsoft про участь у цьому зломі (компанія, очевидно, не опублікувала список жертв), тоді ви можете припустити, що ви нічого не знаєте.
А ще краще, якщо тут правильне слово краще, атака покладалася на два недоліки безпеки у внутрішніх операціях Microsoft, а це означає, що обидві вразливості можна було виправити «вдома», без виштовхування програмного забезпечення або оновлень конфігурації на стороні клієнта.
Це означає, що немає жодних критичних виправлень, які вам потрібно поспішно встановлювати самостійно.
Нульові дні, яких не було
Нульові дні, як ви знаєте, — це діри в безпеці, які погані хлопці знайшли першими та придумали, як ними скористатися, таким чином не залишаючи доступних днів, протягом яких навіть найзапекліші та найкраще поінформовані служби безпеки могли б залатати напередодні атак.
Технічно, отже, ці дві діри Storm-0558 можна вважати нульовими днями, оскільки шахраї активно використовували помилки до того, як Microsoft змогла впоратися з уразливими місцями.
Однак, враховуючи те, що Microsoft старанно уникала слова «нульовий день» у своєму власному висвітленні, і враховуючи, що виправлення дірок не вимагало від усіх нас завантажувати виправлення, ви побачите, що ми згадували їх у заголовку вище як напівнульових днів, і ми залишимо опис на цьому.
Тим не менш, природа двох взаємопов’язаних проблем безпеки в цьому випадку є важливим нагадуванням про три речі, а саме:
- Прикладна криптографія складна.
- Сегментація безпеки складна.
- Полювання на загрозу важке.
Перші ознаки злочину показали, що шахраї проникають у дані Exchange жертв через Outlook Web Access (OWA), використовуючи незаконно отримані маркери автентифікації.
Як правило, маркер автентифікації – це тимчасовий веб-куки, призначений для кожної онлайн-служби, якою ви користуєтеся, який служба надсилає у ваш браузер після того, як ви підтвердите свою особу відповідно до задовільного стандарту.
Щоб точно встановити вашу особу на початку сеансу, вам може знадобитися ввести пароль і одноразовий код 2FA, пред’явити криптографічний пристрій із «ключем доступу», наприклад Yubikey, або розблокувати та вставити смарт-карту в читач.
Після цього файл cookie для автентифікації, надісланий вашому браузеру, діє як короткочасний пропуск, тому вам не потрібно вводити свій пароль або показувати пристрій безпеки знову і знову під час кожної вашої взаємодії з сайтом.
Ви можете розглядати початковий процес входу в систему як пред’явлення паспорта на стійці реєстрації авіакомпанії, а маркер автентифікації – як посадковий талон, який дозволяє вам в аеропорт і на літак для одного конкретного рейсу.
Sometimes you might be required to reaffirm your identity by showing your passport again, such as just before you get on the plane, but often showing the boarding card alone will be enough for you to establish your “right to be there” as you make your way around the airside parts of the airport.
Ймовірні пояснення не завжди правильні
Коли шахраї починають з’являтися з чужим маркером автентифікації в HTTP-заголовках своїх веб-запитів, одним із найімовірніших пояснень є те, що злочинці вже встановили шкідливе програмне забезпечення на комп’ютері жертви.
Якщо це зловмисне програмне забезпечення призначене для шпигування за мережевим трафіком жертви, воно зазвичай бачить базові дані після того, як їх підготують до використання, але до того, як їх зашифрують і розішлють.
Це означає, що шахраї можуть стежити за та викрадати життєво важливі приватні дані веб-перегляду, включаючи маркери автентифікації.
Взагалі кажучи, зловмисники більше не можуть винюхати токени автентифікації, коли вони подорожують Інтернетом, як це було зазвичай до 2010 року. Це тому, що сьогодні кожна поважна онлайн-служба вимагає, щоб трафік до та від зареєстрованих користувачів мав проходити через HTTPS і лише через HTTPS, скорочення від безпечний HTTP.
HTTPS використовує TLS, скорочення від безпека транспортного шару, який робить те, що випливає з його назви. Усі дані надійно шифруються, коли вони залишають ваш браузер, але до того, як потраплять у мережу, і не розшифровуються, доки не досягнуть потрібного сервера на іншому кінці. Той самий процес наскрізного скремблування даних відбувається у зворотному порядку для даних, які сервер надсилає у своїх відповідях, навіть якщо ви намагаєтеся отримати дані, яких не існує, і все, що сервер повинен повідомити вам, є поверхневим. 404 Page not found
.
На щастя, мисливці за загрозами Microsoft невдовзі зрозуміли, що шахрайська взаємодія електронною поштою не зводилася до проблеми, яка виникла на клієнтській стороні мережевого з’єднання. Це припущення призвело б до того, що організації-жертви почали 25 окремих гонитв на пошук шкідливого програмного забезпечення, яке не було не там.
Наступне, найбільш ймовірне, пояснення, яке теоретично легше виправити (оскільки це можна виправити для всіх за один раз), але на практиці викликає більше тривоги у клієнтів, а саме те, що шахраї якимось чином скомпрометували процес створення автентифікації. жетони в першу чергу.
Одним зі способів зробити це було б зламати сервери, які їх генерують, і імплантувати бекдор для створення дійсного токена без попередньої перевірки особи користувача.
Інший спосіб, який, очевидно, спочатку досліджувала Microsoft, полягає в тому, що зловмисники змогли викрасти достатньо даних із серверів автентифікації, щоб створити для себе шахрайські, але дійсні на вигляд маркери автентифікації.
Це означало, що зловмисникам вдалося викрасти один із ключів криптографічного підпису, який сервер автентифікації використовує, щоб поставити «печатку дійсності» на токени, які він видає, щоб будь-кому було неможливо створити підроблений токен. що б пройти перевірку.
Використовуючи безпечний закритий ключ для додавання цифрового підпису до кожного виданого маркера доступу, сервер автентифікації дозволяє будь-якому іншому серверу в екосистемі легко перевіряти дійсність отриманих маркерів. Таким чином, сервер автентифікації може навіть надійно працювати в різних мережах і службах без необхідності ділитися (і регулярно оновлювати) список фактичних, завідомо справних токенів.
Хак, який не мав працювати
Microsoft ultimately determined that the rogue access tokens in the Storm-0558 attack were legitimately signed, which seemed to suggest that someone had indeed pinched a company signing key…
…але насправді це були зовсім не ті жетони.
Передбачається, що корпоративні облікові записи проходять автентифікацію в хмарі за допомогою токенів Azure Active Directory (AD), але ці підроблені токени атаки були підписані за допомогою так званого ключа MSA, скорочення від Аккаунт Майкрософт, which is apparent the initialism used to refer to standalone consumer accounts rather than AD-based corporate ones.
Грубо кажучи, шахраї карбували фальшиві маркери автентифікації, які пройшли перевірку безпеки Microsoft, але ці маркери були підписані так, ніби користувач входить в особистий обліковий запис Outlook.com, а не корпоративний користувач, який входить у корпоративний обліковий запис.
Одним словом, "Що?!!?!"
Очевидно, шахраї не змогли вкрасти ключ підпису корпоративного рівня, а лише споживчий (це не приниження користувачів споживчого рівня, а просто мудрий криптографічний запобіжний захід, щоб розділити та розділити дві частини екосистема).
Але здійснивши цей перший напівнульовий день, а саме непомітно отримавши криптографічний секрет Microsoft, шахраї, очевидно, знайшли другий напівнульовий день, за допомогою якого вони могли передати маркер доступу, підписаний ключем облікового запису споживача, який мав означати, що «цей ключ тут не належить», ніби це був маркер, підписаний Azure AD.
Іншими словами, незважаючи на те, що шахраї застрягли з неправильним типом ключа підпису для атаки, яку вони запланували, вони все ж знайшли спосіб обійти заходи безпеки «розділяй і відокремлюй», які мали зупинити роботу їхнього вкраденого ключа.
Більше поганих і хороших новин
Погана новина для Microsoft полягає в тому, що це не єдиний випадок, коли компанія виявила, що не має можливості підписати ключ безпеки за останній рік.
Команда останній патч у вівторок, справді, побачив, що Microsoft із запізненням запропонувала захист списку блокувань від купи шахрайських, заражених зловмисним програмним забезпеченням драйверів ядра Windows, які сам Редмонд підписав під егідою своєї Програми розробника обладнання Windows.
Хороша новина полягає в тому, що, оскільки шахраї використовували токени доступу в корпоративному стилі, підписані криптографічним ключем споживчого стилю, їхні шахрайські облікові дані автентифікації могли бути надійно переслідувані загрозами, як тільки команда безпеки Microsoft знала, на що звертати увагу.
Користуючись жаргоном, Microsoft зазначає, що:
Використання неправильного ключа для підпису запитів дозволило нашим слідчим групам побачити всі запити на доступ до акторів, які відповідали цьому шаблону в наших корпоративних і споживчих системах.
Використання неправильного ключа для підпису цього обсягу тверджень було очевидним показником активності актора, оскільки жодна система Microsoft не підписує маркери таким чином.
Говорячи простою англійською мовою, недолік того факту, що ніхто в Microsoft не знав про це заздалегідь (таким чином запобігаючи завчасному виправленню), привів, за іронією долі, до переваги того, що ніхто в Microsoft ніколи не намагався написати код, який би працював таким чином. .
А це, у свою чергу, означало, що шахрайська поведінка в цій атаці може бути використана як надійний, унікальний IoC або індикатор компромісу.
Ми припускаємо, що саме тому Microsoft зараз з упевненістю заявляє, що вона відстежила кожен випадок, коли ці діри з подвійним напівнулем використовувалися, і, таким чином, її список із 25 постраждалих клієнтів є вичерпним.
Що ж робити?
Якщо корпорація Майкрософт не зв’язувалася з вами щодо цього, ми вважаємо, що ви можете бути впевнені, що це не вплинуло на вас.
І оскільки засоби захисту були застосовані у власній хмарній службі Microsoft (а саме, відмова від будь-яких викрадених ключів підпису MSA та закриття лазівки, що дозволяє використовувати «ключ неправильного типу» для корпоративної автентифікації), вам не потрібно шукати встановлюйте будь-які патчі самостійно.
Однак, якщо ви програміст, фахівець із забезпечення якості, червоний/синій командний працівник або іншим чином залучені до ІТ, будь ласка, нагадайте собі про три пункти, наведені на початку цієї статті:
- Прикладна криптографія складна. Вам не потрібно просто вибрати правильні алгоритми та безпечно їх реалізувати. Вам також потрібно правильно їх використовувати та керувати будь-якими криптографічними ключами, на які покладається система, з відповідним довгостроковим доглядом.
- Сегментація безпеки складна. Навіть якщо ви думаєте, що розділили складну частину вашої екосистеми на дві чи більше частин, як тут зробила Microsoft, вам потрібно переконатися, що поділ справді працює так, як ви очікуєте. Перевірте та перевірте безпеку відокремлення самостійно, тому що якщо ви не перевірите це, шахраї точно зроблять це.
- Полювання на загрозу важке. Перше і найочевидніше пояснення не завжди правильне або може бути не єдиним. Не припиняйте полювання, коли у вас є перше правдоподібне пояснення. Продовжуйте, доки ви не лише визначите фактичні експлойти, використані в поточній атаці, але й виявите якомога більше інших потенційно пов’язаних причин, щоб ви могли завчасно їх виправити.
Процитую відому фразу (і той факт, що вона правдива, означає, що ми не хвилюємося, що вона буде кліше): Кібербезпека – це подорож, а не пункт призначення.
Не вистачає часу чи досвіду для виявлення загроз кібербезпеці? Хвилюєтеся, що кібербезпека зрештою відверне вас від усіх інших справ, які вам потрібно зробити?
Дізнатися більше про Кероване виявлення та реагування Sophos:
Цілодобове полювання на загрози, виявлення та реагування ▶
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/07/18/microsoft-hit-by-storm-season-a-tale-of-two-semi-zero-days/
- : має
- :є
- : ні
- :де
- $UP
- 1
- 15%
- 25
- 2FA
- a
- Здатний
- МЕНЮ
- про це
- вище
- абсолют
- доступ
- доступний
- рахунки
- Рахунки
- придбаний
- придбання
- через
- активний
- Active Directory
- діяльність
- акти
- фактичний
- насправді
- Ad
- додавати
- просування
- після
- знову
- проти
- агентства
- авіакомпанія
- аеропорт
- алгоритми
- ВСІ
- дозволено
- Дозволити
- тільки
- вже
- Також
- завжди
- an
- та
- будь-який
- будь
- де-небудь
- здається
- прикладної
- приблизно
- ЕСТЬ
- навколо
- стаття
- AS
- припустити
- припущення
- гарантія
- At
- атака
- нападки
- автентифіковано
- Authentication
- автор
- автоматичний
- доступний
- уникати
- Лазурний
- назад
- Back-end
- закулісний
- фон
- фонове зображення
- поганий
- BE
- оскільки
- було
- перед тим
- буття
- Краще
- посадка
- органів
- border
- обидва
- дно
- браузер
- Перегляд
- помилки
- гроно
- але
- by
- CAN
- карта
- який
- обережно
- випадок
- Причини
- Центр
- звичайно
- перевірка
- контроль
- Перевірки
- Вибирати
- ясно
- клієнт
- закриття
- хмара
- код
- color
- COM
- зазвичай
- компанія
- Компанії
- повний
- комплекс
- Компрометація
- комп'ютер
- впевнений
- конфігурація
- зв'язку
- вважається
- споживач
- cookie
- Корпоративний
- може
- обкладинка
- охоплення
- створювати
- створення
- Повноваження
- злочинці
- критичний
- Круки
- криптографічні
- криптографія
- Поточний
- Клієнти
- кіберзлочинності
- Кібербезпека
- дані
- день
- Днів
- угода
- description
- призначений
- стіл
- призначення
- Виявлення
- певний
- Розробник
- пристрій
- DID
- різний
- цифровий
- безпосередньо
- відкритий
- дисплей
- do
- документ
- робить
- Ні
- Не знаю
- вниз
- скачати
- зворотний бік
- драматично
- драйвери
- під час
- кожен
- легше
- легко
- екосистема
- В іншому
- зашифрованих
- кінець
- кінець в кінець
- англійська
- досить
- Що натомість? Створіть віртуальну версію себе у
- підприємство
- Озаглавлений
- встановити
- Навіть
- НІКОЛИ
- Кожен
- все
- обмін
- існувати
- очікувати
- експертиза
- пояснення
- Експлуатувати
- експлуатований
- подвигів
- піддаватися
- факт
- підроблений
- розібрався
- остаточний
- Перший
- виправляти
- фіксованою
- політ
- потім
- для
- знайдений
- шахрайський
- від
- породжувати
- отримати
- даний
- Go
- буде
- добре
- Уряд
- зламати
- було
- відбувається
- Жорсткий
- апаратні засоби
- Мати
- має
- Заголовки
- headline
- почутий
- висота
- тут
- хіт
- Отвори
- hover
- Як
- How To
- HTTP
- HTTPS
- Сотні
- Полювання
- ідентифікований
- Особистість
- if
- здійснювати
- мається на увазі
- in
- У тому числі
- індикатор
- осіб
- початковий
- всередині
- встановлювати
- екземпляр
- замість
- призначених
- взаємодія
- Взаємодії
- взаємопов'язані
- інтернет
- в
- дослідження
- залучений
- Як не дивно
- Випущений
- питання
- IT
- ЙОГО
- сам
- подорож
- JPG
- просто
- тримати
- ключ
- ключі
- Знати
- відомий
- мова
- великий
- останній
- шар
- найменш
- Залишати
- догляд
- Led
- залишити
- дозволяє
- як
- Ймовірно
- список
- каротаж
- Логін
- довгостроковий
- подивитися
- шукати
- лазівка
- made
- Більшість
- зробити
- РОБОТИ
- шкідливих програм
- управляти
- вдалося
- багато
- Маржа
- макс-ширина
- Може..
- сенс
- засоби
- означав
- заходи
- просто
- Microsoft
- може бути
- карбування
- більше
- найбільш
- повинен
- ім'я
- а саме
- природа
- Необхідність
- нужденних
- потреби
- мережу
- мережевий трафік
- мереж
- мережі та сервіси
- проте
- новини
- немає
- нормальний
- примітки
- зараз
- номер
- Очевидний
- of
- від
- пропонує
- часто
- on
- один раз
- ONE
- ті,
- онлайн
- тільки
- операції
- or
- організації
- організації
- спочатку
- Інше
- інакше
- наші
- з
- прогноз
- над
- власний
- сторінка
- частина
- частини
- проходити
- Пройшов
- паспорт
- Пароль
- Минуле
- пластир
- Патчі
- Викрійки
- Пол
- Люди
- персонал
- місце
- запланований
- plato
- Інформація про дані Платона
- PlatoData
- правдоподібний
- будь ласка
- точок
- положення
- Пости
- потенційно
- практика
- підготовлений
- представити
- попередження
- раніше
- приватний
- Private Key
- зонд
- Проблема
- проблеми
- процес
- виробляти
- програма
- Програміст
- захист
- доведений
- громадськість
- Публічна хмара
- опублікований
- Натискання
- put
- якість
- цитувати
- швидше
- Досягає
- читач
- насправді
- отримати
- червоний
- називають
- регулярно
- пов'язаний
- відносний
- надійний
- звітом
- шановний
- запитів
- вимагати
- вимагається
- Вимагається
- повага
- Показали
- зворотний
- право
- порив
- s
- то ж
- бачив
- сфера
- Сезон
- другий
- секрет
- безпечний
- безпечно
- безпеку
- Заходи безпеки
- побачити
- здається
- здавалося
- сегментація
- послати
- посилає
- посланий
- окремий
- обслуговування
- Послуги
- Сесія
- Поділитись
- Короткий
- короткий термін
- Повинен
- показав
- показ
- сторона
- підпис
- підписаний
- підписання
- Ознаки
- один
- сайт
- розумний
- сопіть
- So
- Софтвер
- solid
- деякі
- Хтось
- Скоро
- розмова
- конкретний
- розкол
- автономні
- standard
- старт
- стан
- вкрали
- Стоп
- буря
- сильно
- такі
- пропонувати
- Запропонує
- підходящий
- передбачуваний
- Переконайтеся
- SVG
- система
- Systems
- Приймати
- розповідь
- команда
- команди
- методи
- сказати
- тимчасовий
- тензор
- тест
- ніж
- Що
- Команда
- їх
- Їх
- самі
- потім
- теорія
- Там.
- отже
- Ці
- вони
- речі
- думати
- це
- ті
- хоча?
- тисячі
- загроза
- три
- час
- TLS
- до
- знак
- Жетони
- топ
- Усього:
- трек
- трафік
- перехід
- прозорий
- подорожувати
- намагався
- спрацьовує
- правда
- намагатися
- ПЕРЕГЛЯД
- два
- типово
- Зрештою
- при
- що лежить в основі
- створеного
- відімкнути
- до
- Оновити
- Updates
- на
- потенціал зростання
- URL
- us
- нас уряд
- використання
- використовуваний
- користувач
- користувачі
- використовує
- використання
- величезний
- через
- Жертва
- жертви
- життєво важливий
- Уразливості
- бажаючий
- було
- шлях..
- we
- Web
- week
- ДОБРЕ
- добре відомі
- були
- Що
- коли
- який
- ВООЗ
- чому
- Wild
- волі
- windows
- WISE
- з
- без
- слово
- слова
- Work
- робочий
- хвилювалися
- б
- запис
- написати код
- Неправильно
- рік
- ще
- ви
- вашу
- себе
- зефірнет