جيتي إيماجيس | أوريتش لوسون
يوم الجمعة ، حاولت Microsoft شرح سبب الاختراق الذي منح المتسللين العاملين لدى الحكومة الصينية الوصول إلى حسابات البريد الإلكتروني لـ 25 من عملائها – بما في ذلك وزارتي الخارجية والتجارة الأمريكية ومنظمات حساسة أخرى.
في منشور يوم الجمعة ، أشارت الشركة إلى أن الاختراق نتج عن ثلاث ثغرات أمنية تم استغلالها إما في خدمة البريد الإلكتروني Exchange Online أو Azure Active Directory ، وهي خدمة هوية تدير تسجيل الدخول الفردي والمصادقة متعددة العوامل للمؤسسات الكبيرة. قال فريق Microsoft Threat Intelligence أن Storm-0558 ، وهي جماعة قرصنة مقرها الصين تقوم بالتجسس نيابة عن حكومة ذلك البلد ، استغلتهم بدءًا من 15 مايو. التدخل.
قبل كل شيء: تجنب كلمة Z
في اللغة القياسية بين محترفي الأمان ، هذا يعني أن Storm-0558 استغل أيام الصفر في خدمات السحابة من Microsoft. “يوم الصفر” هو ثغرة معروفة أو يتم استغلالها من قبل الغرباء قبل أن يكون لدى البائع تصحيح لها. يُقصد بمصطلح “الاستغلال” استخدام رمز أو وسيلة أخرى لإثارة ثغرة أمنية بطريقة تسبب ضررًا للبائع أو للآخرين.
في حين تم استيفاء كلا الشرطين بوضوح في اقتحام Storm-0558 ، فإن منشور يوم الجمعة واثنين آخرين نشرتهما شركة Microsoft يوم الثلاثاء ، ينحنيان للخلف لتجنب الكلمات “الضعف” أو “يوم الصفر”. بدلاً من ذلك ، تستخدم الشركة مصطلحات غير متبلورة بشكل ملحوظ مثل “المشكلة” و “الخطأ” و “الخلل” عند محاولة شرح كيفية تتبع قراصنة الدولة القومية لحسابات البريد الإلكتروني لبعض أكبر عملاء الشركة.
كتب باحثو Microsoft يوم الجمعة: “اكتشف التحليل المتعمق لنشاط Exchange Online أن الممثل كان في الواقع يقوم بتزوير رموز Azure AD المميزة باستخدام مفتاح توقيع المستهلك لحساب Microsoft (MSA) المكتسب”. “أصبح هذا ممكنًا بسبب خطأ في التحقق من الصحة في رمز Microsoft.”
في وقت لاحق من المنشور ، قال الباحثون إن Storm-0558 حصل على مفتاح توقيع غير نشط يستخدم لحسابات سحابية للمستهلكين وتمكن بطريقة ما من استخدامه لتزوير الرموز المميزة لـ Azure AD ، وهي خدمة سحابية محصنة يُفترض أنها ، في الواقع ، تخزن مفاتيح الآلاف . من المؤسسات تستخدم لإدارة عمليات تسجيل الدخول للحسابات على كل من الشبكات الداخلية والشبكات المستندة إلى مجموعة النظراء.
ذكر المنشور: “الطريقة التي حصل بها الممثل على المفتاح هي مسألة تحقيق مستمر”. “على الرغم من أن المفتاح كان مخصصًا فقط لحسابات MSA ، إلا أن هناك مشكلة تتعلق بالتحقق من الصحة أتاحت الوثوق بهذا المفتاح لتوقيع رموز Azure AD المميزة.”
بعد فقرتين ، قالت Microsoft إن Storm-0558 استخدم الرمز المميز للوصول إلى حسابات البريد الإلكتروني في Exchange من خلال واجهة برمجة لـ Outlook Web Access (OWA). كتب الباحثون:
بمجرد المصادقة من خلال تدفق عميل شرعي يستفيد من الرمز المميز المزيف ، وصل ممثل التهديد إلى OWA API لاسترداد رمز مميز لـ Exchange Online من GetAccessTokenForResource API التي تستخدمها OWA. تمكن الممثل من الحصول على رموز وصول جديدة من خلال تقديم رمز تم إصداره مسبقًا من واجهة برمجة التطبيقات هذه بسبب عيب في التصميم. تم إصلاح هذا الخلل في GetAccessTokenForResourceAPI منذ ذلك الحين لقبول الرموز المميزة الصادرة من Azure AD أو MSA على التوالي. استخدم الممثل هذه الرموز المميزة لاسترداد رسائل البريد من OWA API.
يبدو أن ملخص الحدث بلغة إنجليزية بسيطة كما يلي: قامت Microsoft بتصحيح ثلاث ثغرات أمنية في خدمتها السحابية التي تم اكتشافها بعد أن استغلها Storm-0558 للوصول إلى حسابات العملاء. سيكون من المفيد أيضًا أن تقدم Microsoft تسمية تتبع بموجب نظام CVE (نقاط الضعف والتعرض الشائعة) بالطريقة التي تعمل بها الشركات السحابية الأخرى. فلماذا لا تفعل Microsoft الشيء نفسه؟
قال الباحث المستقل Kevin Beaumont في Mastodon: “لا أعتقد أن Microsoft تعترف أبدًا بوجود ثغرات أمنية في خدماتها السحابية (أيضًا لا توجد CVEs للسحابة) ، وأنت لا تقول خرقًا في Microsoft”. “لقد قالوا” استغلال “في مدونة MSRC الأصلية فيما يتعلق بخدمات Microsoft السحابية ، وأنت تستغل ثغرة أمنية. لذلك أعتقد أنه من العدل أن نقول ، نعم ، لقد كان لديهم فولن (ق).
أصدرت Microsoft التعليق التالي: “ليس لدينا أي دليل على أن الفاعل استغل 0 يوم”. لم تقدم مايكروسوفت مزيدًا من التفاصيل.
أمن الدفع مقابل اللعب
إلى جانب كونها غامضة بشأن السبب الجذري للانتهاك ودورها في ذلك ، تتعرض Microsoft لانتقادات بسبب حجب التفاصيل التي كان من الممكن أن يستخدمها بعض الضحايا للكشف عن التطفل ، وهو ما أطلق عليه النقاد “أمان الدفع مقابل اللعب”. وفقًا لوكالة الأمن السيبراني وأمن المعلومات الأمريكية ، وهي وكالة اتحادية تم اختراقها بواسطة Storm-0558 ، فقد اكتشفت التطفل من خلال سجلات التدقيق التي تتعقب عمليات تسجيل الدخول والأحداث المهمة الأخرى التي تؤثر على أحداث سحابة Microsoft للعملاء.
ومع ذلك ، تطلب Microsoft من العملاء دفع رسوم إضافية للوصول إلى هذه السجلات. تبلغ تكلفة ترخيص مؤسسة “E5” الذي يسمح بهذا الوصول 57 دولارًا شهريًا لكل مستخدم ، مقارنةً بتكلفة ترخيص E3 البالغة 36 دولارًا أمريكيًا شهريًا لكل عميل.
قال ويل دورمان ، كبير المحللين الرئيسيين في Analygence ، في مقابلة: “حقيقة أن Microsoft تسمح فقط لأولئك الذين يدفعون أموالاً إضافية للحصول على ترخيص E5 بمشاهدة ملفات السجل ذات الصلة ، شيء …”. “إذا لم تكن من عملاء الدفع لـ E5 ، فستفقد القدرة على رؤية تعرضك للخطر.”
على الرغم من أن إفصاحات Microsoft لم تكن واردة في الدور الذي لعبته نقاط الضعف في اختراق حسابات عملائها ، فإن الكشف يوم الجمعة يوفر مؤشرات مفيدة يمكن للأشخاص استخدامها لتحديد ما إذا كان قد تم استهدافهم أو اختراقهم بواسطة Storm-0558.
اكتشاف المزيد من عرب نيوز للتقنية
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
