Bulut güvenlik şirketi Wiz’den araştırmacılar, Microsoft tarafından açıklanan tekniği inceledi ve imzalama anahtarına sahip herkesin erişimlerini genişletebileceği ve SharePoint, Teams ve OneDrive gibi yaygın olarak kullanılan diğer Microsoft bulut tekliflerinde oturum açabileceği sonucuna vardı.
Wiz, “Güvenliği ihlal edilmiş MSA anahtarı, tehdit aktörünün kişisel hesap kimlik doğrulamasını destekleyen her uygulama dahil olmak üzere birden çok Azure Active Directory uygulaması türü için erişim belirteçleri oluşturmasına izin verebilirdi” dedi. Blog yazısı bulgularını detaylandırıyor.
Microsoft anahtarı iptal etti, bu nedenle yeni saldırılarda kullanılamaz. Ancak Wiz, saldırganların uygulamalarda geri dönmelerine izin verecek arka kapılar bırakmış olabileceklerini ve bazı yazılımların süresi dolmuş bir anahtar tarafından başlatılan bir oturumu yine de tanıyacağını söyledi.
Microsoft, saldırganların aralarında Ticaret Bakanı Gina Raimondo ve ABD’nin Çin Büyükelçisi Nicholas Burns’ün de bulunduğu hedeflerin e-posta hesaplarının ötesine geçmiş olma ihtimalini hafife aldı.
Microsoft sözcüsü Jeff Jones, “Bu blogda öne sürülen iddiaların çoğu spekülatiftir ve kanıta dayalı değildir” dedi.
Siber Güvenlik ve Altyapı Güvenliği Teşkilatı, Ulusal Güvenlik Departmanı birimi sorumlu hükümetin sivil silahlarını savunan ABD Dışişleri Bakanlığı, saldırganların e-postanın ötesine geçmeyi seçtiğine inanmak için bir sebep görmediğini söyledi.
“Mevcut bilgiler, bu etkinliğin belirli sayıda hedeflenen Microsoft Exchange Online e-posta hesabıyla sınırlı olduğunu gösteriyor. CISA’da siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein, “Soruşturmaları devam ederken Microsoft ile yakın bir şekilde çalışmaya devam ediyoruz” dedi.
Hiçbir gizli bilginin alındığına inanılmamaktadır. Microsoft, korsan anahtarın her kullanıldığını görebildiğini ve dünya çapında yalnızca iki düzine kuruluşun saldırıya uğradığını söyledi.
Şirket saldırılara karşı ilk olarak Dışişleri Bakanlığı tarafından uyarıldı. Dışişleri Bakanlığı, Microsoft’un 2020’de SolarWinds hack’inde bulut hizmetlerinin güvenliği ihlal edildikten sonra devlet müşterilerine sağlamaya başladığı etkinlik günlüklerini incelediğinde izinsiz girişi keşfetti. En son ihlalden sonra Microsoft, özel müşterilere de ücretsiz birçok türde günlük sağlamaya başlayacağını söyledi.
Microsoft, saldırıyı Çinli bir gruba bağladı, tekniklerinin çoğunu ayrıntılı olarak açıkladı ve müşterilere saldırıya uğradıklarına dair işaretleri nasıl arayacaklarını anlattı. Ancak imza anahtarının nasıl ortaya çıktığını hâlâ araştırıyor.
Eski Ulusal Güvenlik Teşkilatı analisti Jake Williams, Microsoft saldırının sınırları konusunda yanılıyorsa, “Bu, etkiyi değerlendirenler için bir kabus senaryosu” diyor. yazdı Twitter’dan. Microsoft oturumlarına izin veren hangi uygulamaların savunmasız olduğunu söylemenin zor olacağını ve hepsinin günlükleri kullanılabilir kılmadığını söyledi.
Daha da kötüsü, saldırganların artık iptal edilen anahtarla her yere girmeye çalışması için hiçbir neden kalmayacağını, çünkü tüm uygulamaların onu engellemeye başlamayacağını söyledi.
Williams, “Bir tehdit aktörü olsaydım, artık iptal edilmiş olan anahtarı kiralık bir katır gibi sürer ve ondan HERHANGİ BİR kilometre alabileceğimi görürdüm,” diye yazdı Williams.
Bulgular, artan oranda yazılım operasyonlarının arkasında yatan bulut sistemlerinin kırılganlığının altını çizdi.
Kaynak : https://www.washingtonpost.com/technology/2023/07/22/china-microsoft-email-hack/