上周末,微软发布了一份报告,题为 针对未经授权的电子邮件访问的 Storm-0558 技术分析.
在这份颇具戏剧性的文件中,该公司的安全团队揭示了之前无法解释的黑客攻击的背景,其中包括电子邮件文本、附件等数据被访问:
来自大约 25 个组织,包括政府机构和公共云中的相关消费者帐户。
坏消息是,尽管表面上只有 25 个组织受到攻击,但考虑到一些美国政府机构雇用了数万到数十万人,这种网络犯罪可能仍然影响了大量个人。
好消息是,至少对于我们绝大多数没有暴露的人来说,攻击中使用的技巧和绕过方法足够具体,Microsft 威胁猎人能够可靠地追踪它们,因此最终总共 25 个组织似乎确实是一个完整的攻击列表。
简而言之,如果您还没有直接从微软那里得知自己参与了此次黑客攻击(该公司显然没有公布受害者名单),那么您不妨假设自己是安全的。
更好的是,如果这里用“更好”这个词是正确的话,那么这次攻击依赖于微软后端操作中的两个安全缺陷,这意味着这两个漏洞都可以“内部”修复,而无需推出任何客户端软件或配置更新。
这意味着您无需匆忙自行安装任何关键补丁。
并非如此的零日漏洞
如您所知,零日是坏人首先发现并找出如何利用的安全漏洞,因此即使是最敏锐、消息最灵通的安全团队也没有时间可以在攻击之前修补。
因此,从技术上讲,这两个 Storm-0558 漏洞可以被视为零日漏洞,因为在微软能够处理所涉及的漏洞之前,骗子们就忙着利用这些漏洞。
然而,考虑到微软在自己的报道中小心翼翼地避免使用“零日”一词,并且修复这些漏洞并不需要我们所有人都下载补丁,您会看到我们在上面的标题中将它们称为 半零日,我们将保留描述。
然而,本案中两个相互关联的安全问题的性质提醒我们注意三件事,即:
- 应用密码学很难。
- 安全分割很困难。
- 威胁追踪很困难。
作恶的最初迹象表明,骗子使用非法获取的身份验证令牌,通过 Outlook Web Access (OWA) 潜入受害者的 Exchange 数据。
通常,身份验证令牌是一个临时 Web Cookie,特定于您使用的每项在线服务,一旦您按照令人满意的标准证明您的身份,该服务就会将其发送到您的浏览器。
要在会话开始时牢固地确立您的身份,您可能需要输入密码和一次性 2FA 代码,以出示 Yubikey 等加密“密钥”设备,或者解锁智能卡并将其插入到设备中。读者。
此后,向您的浏览器发出的身份验证 cookie 将充当短期通行证,这样您就无需在与网站的每次交互中一遍又一遍地输入密码或出示您的安全设备。
您可以将初始登录过程想象为在航空公司值机柜台出示您的护照,并将身份验证令牌视为登机卡,让您进入机场并登上某个特定航班的飞机。
有时,您可能需要再次出示护照来确认您的身份,例如在登机前,但通常仅出示登机牌就足以让您在机场空侧周围时确立“在场权利”。
可能的解释并不总是正确的
当骗子开始在其 Web 请求的 HTTP 标头中出现其他人的身份验证令牌时,最可能的解释之一是犯罪分子已经在受害者的计算机上植入了恶意软件。
如果该恶意软件旨在监视受害者的网络流量,那么它通常会在准备好使用后、加密并发送出去之前看到底层数据。
这意味着骗子可以窥探并窃取重要的私人浏览数据,包括身份验证令牌。
一般来说,攻击者在通过互联网传输时无法再嗅出身份验证令牌,而在 2010 年左右,他们通常可以做到这一点。这是因为如今每个信誉良好的在线服务都要求进出登录用户的流量必须通过 HTTPS 传输,并且只能通过 HTTPS(HTTPS 的缩写)传输。 安全HTTP.
HTTPS 使用 TLS,简称 传输层安全,顾名思义。 所有数据在离开浏览器时但在进入网络之前都经过严格加密,并且在到达另一端的预期服务器之前不会被解密。 对于服务器在回复中发回的数据,同样的端到端数据加扰过程相反,即使您尝试检索不存在的数据并且服务器需要告诉您的只是敷衍 404 Page not found
.
幸运的是,微软威胁追踪者很快意识到,欺诈性电子邮件交互并不是由网络连接客户端触发的问题引起的,如果是这种假设,受害者组织就会进行 25 次单独的徒劳追逐,寻找不存在的恶意软件。
下一个最可能的解释是,理论上更容易修复(因为它可以一次性为每个人修复),但实际上对客户来说更令人震惊,即骗子以某种方式破坏了创建身份验证的过程首先是代币。
一种方法是侵入生成它们的服务器并植入后门以生成有效令牌,而无需首先检查用户的身份。
另一种方式(显然是微软最初调查的)是,攻击者能够从身份验证服务器窃取足够的数据,为自己生成欺诈性但看似有效的身份验证令牌。
这意味着攻击者已经成功窃取了身份验证服务器用来在其颁发的令牌中打上“有效性印章”的加密签名密钥之一,从而使任何人都无法创建虚假令牌这样就可以通过了。
通过使用安全私钥向发出的每个访问令牌添加数字签名,身份验证服务器使生态系统中的任何其他服务器都可以轻松检查它们收到的令牌的有效性。 这样,身份验证服务器甚至可以跨不同的网络和服务可靠地工作,而无需共享(并定期更新)实际的已知良好令牌的可泄漏列表。
一个不应该起作用的黑客
微软最终确定 Storm-0558 攻击中的恶意访问令牌是合法签名的,这似乎表明有人确实窃取了公司签名密钥......
……但它们实际上根本不是正确的代币类型。
公司帐户应该使用 Azure Active Directory (AD) 令牌在云中进行身份验证,但这些伪造的攻击令牌是使用所谓的 MSA 密钥(简称 MSA)进行签名的。 微软帐户,这显然是指独立的消费者帐户而不是基于 AD 的企业帐户。
粗略地说,骗子正在铸造通过 Microsoft 安全检查的虚假身份验证令牌,但这些令牌的签名就像是为登录个人 Outlook.com 帐户的用户而不是为登录公司帐户的企业用户签名的。
总而言之, “什么?!!?!”
显然,骗子无法窃取企业级签名密钥,只能窃取消费者级签名密钥(这并不是对消费者级用户的贬低,只是一种明智的加密预防措施,用于将签名密钥的两个部分分开并分开)生态系统)。
但是,在成功实现第一个半零日(即在不被注意的情况下获取 Microsoft 加密秘密)后,骗子显然发现了第二个半零日,通过该漏洞,他们可以传递使用消费者帐户密钥签名的访问令牌,该密钥本应表明“此密钥不属于这里”,就好像它是 Azure AD 签名的令牌一样。
换句话说,尽管骗子在他们计划的攻击中使用了错误类型的签名密钥,但他们仍然找到了一种方法来绕过分立的安全措施,这些措施本应阻止他们被盗的密钥发挥作用。
更多坏消息和好消息
对于微软来说,坏消息是,这并不是该公司去年唯一一次被发现在签名密钥安全方面存在缺陷。
周二最新补丁事实上,微软迟来地提供了阻止列表保护,以防止一堆流氓、受恶意软件感染的 Windows 内核驱动程序,而雷蒙德本身已在其 Windows 硬件开发人员计划的支持下签署了这些驱动程序。
好消息是,由于骗子使用的是用消费者风格的加密密钥签名的企业风格的访问令牌,因此一旦微软的安全团队知道要寻找什么,他们的流氓身份验证凭据就可以可靠地被威胁追捕。
微软用丰富的行话指出:
使用不正确的密钥对请求进行签名使我们的调查团队能够查看我们的企业和消费者系统中遵循此模式的所有参与者访问请求。
使用不正确的密钥来签署此范围的断言是参与者活动的明显指标,因为没有 Microsoft 系统以这种方式签署令牌。
用更简单的英语来说,具有讽刺意味的是,微软没有人提前知道这一点(从而阻止主动修补),这一事实的缺点是,微软没有人尝试编写代码以这种方式工作。
反过来,这意味着这次攻击中的流氓行为可以用作可靠、独特的 IoC,或者 妥协指标.
我们认为,这就是为什么微软现在有信心声明它已经追踪到了这些双半零日漏洞被利用的每个实例,因此其 25 个受影响客户的名单是详尽的。
怎么办呢?
如果 Microsoft 尚未就此事与您联系,那么我们认为您可以确信自己没有受到影响。
而且由于安全补救措施已应用于 Microsoft 自己的云服务内部(即否认任何被盗的 MSA 签名密钥并堵住允许使用“错误类型的密钥”进行企业身份验证的漏洞),因此您无需费力自己安装任何补丁。
但是,如果您是程序员、质量保证实践者、红队/蓝队人员或其他 IT 相关人员,请提醒自己我们在本文开头提出的三点:
- 应用密码学很难。 您不仅需要选择正确的算法并安全地实施它们。 您还需要正确使用它们,并通过适当的长期维护来管理系统所依赖的任何加密密钥。
- 安全分割很困难。 即使您认为您已经将生态系统的复杂部分拆分为两个或多个部分(就像 Microsoft 所做的那样),您也需要确保这种分离确实按照您的预期进行。 亲自探索和测试分离的安全性,因为如果你不测试,骗子肯定会测试。
- 威胁追踪很困难。 第一个也是最明显的解释并不总是正确的,或者可能不是唯一的。 当你有了第一个合理的解释时,不要停止寻找。 继续下去,直到您不仅确定了当前攻击中使用的实际漏洞,而且还发现了尽可能多的其他潜在相关原因,以便您可以主动修补它们。
引用一句众所周知的短语(事实上,它是真的,这意味着我们并不担心它是陈词滥调): 网络安全是一个旅程,而不是一个目的地。
缺乏时间或专业知识来应对网络安全威胁搜寻? 担心网络安全最终会分散您对所有其他需要做的事情的注意力?
进一步了解 Sophos 托管检测和响应:
24/7 威胁追踪、检测和响应 ▶
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 15%
- 25
- 2FA
- a
- Able
- 关于
- 关于它
- 以上
- 绝对
- ACCESS
- 访问
- 账号管理
- 账户
- 后天
- 收购
- 横过
- 要积极。
- 活动目录
- 活动
- 行为
- 实际
- 通
- Ad
- 加
- 推进
- 后
- 再次
- 驳
- 机构
- 航空公司
- 机场
- 算法
- 所有类型
- 允许
- 允许
- 单
- 已经
- 还
- 时刻
- an
- 和
- 任何
- 任何人
- 分析数据
- 明显的
- 应用的
- 约
- 保健
- 围绕
- 刊文
- AS
- 承担
- 假设
- 保证
- At
- 攻击
- 攻击
- 认证
- 认证
- 作者
- 汽车
- 可使用
- 避免
- Azure
- 背部
- 后端
- 后门
- 背景
- 背景图像
- 坏
- BE
- 因为
- 很
- before
- 作为
- 更好
- 登机
- 机构
- 边界
- 都
- 半身裙/裤
- 浏览器
- 浏览
- 虫子
- 束
- 但是
- by
- CAN
- 卡
- 关心
- 小心
- 案件
- 原因
- Center
- 当然
- 查
- 检查
- 支票
- 清除
- 客户
- 关闭
- 云端技术
- 码
- 颜色
- COM的
- 常用
- 公司
- 公司的
- 完成
- 复杂
- 妥协
- 一台
- 信心
- 配置
- 地都
- 考虑
- 消费者
- 饼干
- 公司
- 可以
- 外壳
- 覆盖
- 创建信息图
- 创造
- 资历
- 罪犯
- 危急
- 克鲁克斯
- 加密
- 加密技术
- 电流
- 合作伙伴
- 网络犯罪
- 网络安全
- data
- 天
- 一年中的
- 处理
- 描述
- 设计
- 台
- 目的地
- 检测
- 决心
- 开发商
- 设备
- DID
- 不同
- 数字
- 直接
- 发现
- 屏 显:
- do
- 文件
- 不
- 不会
- 别
- 向下
- 下载
- 缺点
- 显着
- 驱动程序
- ,我们将参加
- 每
- 更容易
- 易
- 生态系统
- 其他的
- 邮箱地址
- 加密
- 结束
- 端至端
- 英语
- 更多
- 输入
- 企业
- 题为
- 建立
- 甚至
- EVER
- 所有的
- 每个人
- 交换
- 存在
- 期望
- 专门知识
- 解释
- 利用
- 剥削
- 功勋
- 裸露
- 事实
- 假
- 想通
- 最后
- 姓氏:
- 固定
- 固定
- 飞行
- 其次
- 针对
- 发现
- 欺诈
- 止
- 生成
- 得到
- 特定
- Go
- 去
- 非常好
- 政府
- 破解
- 民政事务总署
- 发生
- 硬
- 硬件
- 有
- 有
- 头
- 标题
- 听说
- 高度
- 相关信息
- 击中
- 孔
- 徘徊
- 创新中心
- How To
- HTTP
- HTTPS
- 数百
- 狩猎
- 确定
- 身分
- if
- 实施
- 默示
- in
- 包含
- 指示符
- 个人
- 初始
- 内
- 安装
- 例
- 代替
- 拟
- 相互作用
- 互动
- 互联
- 网络
- 成
- 调查
- 参与
- 讽刺地
- 发行
- 问题
- IT
- 它的
- 本身
- 旅程
- JPG
- 只是
- 保持
- 键
- 键
- 知道
- 已知
- 语言
- 大
- 名:
- 层
- 最少
- 离开
- 离开
- 导致
- 左
- 让
- 喜欢
- 容易
- 清单
- 记录
- 登录
- 长期
- 看
- 寻找
- 漏洞
- 制成
- 多数
- 使
- 制作
- 恶意软件
- 管理
- 管理
- 许多
- 余量
- 最大宽度
- 可能..
- 意
- 手段
- 意思
- 措施
- 仅仅
- 微软
- 可能
- 造币
- 更多
- 最先进的
- 必须
- 姓名
- 亦即
- 自然
- 需求
- 需要
- 需要
- 网络
- 网络流量
- 网络
- 网络和服务
- 虽然
- 消息
- 没有
- 正常
- 现在
- 数
- 明显
- of
- 折扣
- 提供
- 经常
- on
- 一旦
- 一
- 那些
- 在线
- 仅由
- 运营
- or
- 组织
- 组织
- 本来
- 其他名称
- 除此以外
- 我们的
- 输出
- Outlook
- 超过
- 己
- 页
- 部分
- 部分
- 通过
- 通过
- 护照
- 密码
- 过去
- 打补丁
- 补丁
- 模式
- 保罗
- 员工
- 个人
- 地方
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 似是而非
- 请
- 点
- 位置
- 帖子
- 可能
- 在练习上
- 准备
- 当下
- 预防
- 先前
- 私立
- 私钥
- 探测器
- 市场问题
- 问题
- 过程
- 生产
- 曲目
- 程序员
- 保护
- 证明
- 国家
- 公共云
- 出版
- 推动
- 放
- 质量
- 报价
- 宁
- 上游
- 读者
- 真
- 接收
- 红色
- 简称
- 经常
- 有关
- 相对的
- 可靠
- 报告
- 信誉良好
- 要求
- 要求
- 必须
- 需要
- 尊重
- 揭密
- 反转
- 右
- 赶
- s
- 同
- 锯
- 范围
- 季节
- 其次
- 秘密
- 安全
- 安全
- 保安
- 保安措施
- 看到
- 似乎
- 似乎
- 分割
- 提交
- 发送
- 发送
- 分开
- 服务
- 特色服务
- 会议
- Share
- 短
- 短期的
- 应该
- 显示
- 显示
- 侧
- 签署
- 签
- 签约
- 迹象
- 单
- 网站
- 智能
- 窥探
- So
- 软件
- 固体
- 一些
- 有人
- 不久
- 发言
- 具体的
- 分裂
- 独立
- 标准
- 开始
- 州/领地
- 被盗
- Stop 停止
- 风暴
- 非常
- 这样
- 建议
- 提示
- 合适的
- 应该
- 肯定
- SVG的
- 系统
- 产品
- 采取
- 故事
- 团队
- 队
- 技术
- 展示
- 临时
- HAST
- test
- 比
- 这
- 其
- 他们
- 他们自己
- 然后
- 理论
- 那里。
- 因此
- 博曼
- 他们
- 事
- 认为
- Free Introduction
- 那些
- 虽然?
- 数千
- 威胁
- 三
- 次
- TLS
- 至
- 象征
- 令牌
- 最佳
- 合计
- 跟踪时
- 交通
- 过渡
- 透明
- 旅行
- 尝试
- 引发
- true
- 尝试
- 转
- 二
- 一般
- 最终
- 下
- 相关
- 独特
- 开锁
- 直到
- 更新
- 最新动态
- 上
- 上边
- 网址
- us
- 美国政府
- 使用
- 用过的
- 用户
- 用户
- 使用
- 运用
- 广阔
- 通过
- 受害者
- 受害者
- 重要
- 漏洞
- 希望
- 是
- 方法..
- we
- 卷筒纸
- 周
- 井
- 知名
- 为
- 什么是
- ,尤其是
- 这
- WHO
- 为什么
- Wild!!!
- 将
- 窗户
- WISE
- 也完全不需要
- Word
- 话
- 工作
- 加工
- 担心
- 将
- 写
- 写代码
- 错误
- 年
- 但
- 您
- 您一站式解决方案
- 你自己
- 和风网