С помощью этой учетной записи злоумышленники могли получить доступ к среде отладки, в которой хранились злополучный аварийный дамп и ключ. Microsoft заявляет, что у нее больше нет журналов этой эпохи, которые непосредственно показывают скомпрометированную учетную запись, выходящую из аварийного дампа, «но это был наиболее вероятный механизм, с помощью которого актор получил ключ.« Вооружившись этим важным открытием, злоумышленники смогли начать генерировать легитимные токены доступа к учетным записям Microsoft.
Еще один оставшийся без ответа вопрос об инциденте заключался в том, как злоумышленники использовали криптографический ключ из журнала сбоев системы подписи потребителей для проникновения в корпоративные учетные записи электронной почты таких организаций, как правительственные учреждения. Microsoft заявила в среду, что это стало возможным из-за недостатка, связанного с интерфейсом прикладного программирования, который компания предоставила, чтобы помочь системам клиентов криптографически проверять подписи. API не был полностью обновлен библиотеками, которые Еще один оставшийся без ответа вопрос об инциденте заключался в том, как злоумышленники использовали криптографический ключ из журнала сбоев системы подписи потребителей для проникновения в корпоративные учетные записи электронной почты таких организаций, как правительственные учреждения. Microsoft заявила в среду, что это стало возможным из-за недостатка, связанного с интерфейсом прикладного программирования, который компания предоставила, чтобы помочь системам клиентов криптографически проверять подписи. API не был полностью обновлен библиотеками, которые проверяли бы, должна ли система принимать маркеры, подписанные потребительскими ключами или корпоративными ключами, и в результате многие системы могут быть обмануты в принятии либо.
Компания заявляет, что исправила все ошибки и провалы, которые в совокупности выявили ключ в среде отладки и позволили ей подписывать токены, которые будут приняты корпоративными системами. Но в обзоре Microsoft все еще не полностью описано, как злоумышленники скомпрометировали корпоративную учетную запись инженера, например, как вредоносное ПО, способное украсть маркеры доступа инженера, оказалось в его сети, и Microsoft не сразу ответила на запрос WIRED о предоставлении дополнительной информации.
Тот факт, что Microsoft вела ограниченные журналы в течение этого периода времени, также имеет значение, говорит независимый исследователь безопасности Адриан Санабрия. В рамках своего ответа на шквал хакерских атак Storm-0558 компания заявила в июле, что расширит возможности облачного ведения журналов, которые она предлагает бесплатно. «Это особенно примечательно, потому что одна из жалоб на Microsoft заключается в том, что они не настраивают своих собственных клиентов для успеха в области безопасности», - говорит Санабрия. "Журналы отключены по умолчанию, Тот факт, что Microsoft вела ограниченные журналы в течение этого периода времени, также имеет значение, говорит независимый исследователь безопасности Адриан Санабрия. В рамках своего ответа на шквал хакерских атак Storm-0558 компания заявила в июле, что расширит возможности облачного ведения журналов, которые она предлагает бесплатно. «Это особенно примечательно, потому что одна из жалоб на Microsoft заключается в том, что они не настраивают своих собственных клиентов для успеха в области безопасности», - говорит Санабрия. «Журналы отключены по умолчанию, функции безопасности - это надстройка, требующая дополнительных затрат или большего количества премиум-лицензий. Похоже, они сами были укушены этой практикой».
Как отмечает Уильямс из Института прикладной сетевой безопасности, такие организации, как Microsoft, должны столкнуться с высокомотивированными и хорошо обеспеченными ресурсами злоумышленниками, которые необычайно способны извлечь выгоду из самых эзотерических или невероятных ошибок. Он говорит, что, читая последние обновления Microsoft о ситуации, он больше сочувствует тому, почему ситуация сложилась именно так.
«Вы услышите о таких очень сложных взломах только в такой среде, как Microsoft», - говорит он. «В любой другой организации безопасность относительно настолько слаба, что взлом не должен быть сложным. И даже когда среды довольно безопасны, им часто не хватает телеметрии - наряду с удержанием - необходимо исследовать что-то подобное. Microsoft - редкая организация, в которой есть и то, и другое. Большинство организаций даже не хранят такие журналы в течение нескольких месяцев, поэтому я впечатлен, что «Вы услышите о таких очень сложных взломах только в такой среде, как Microsoft», - говорит он. «В любой другой организации безопасность относительно настолько слаба, что взлом не должен быть сложным. И даже когда среды довольно безопасны, им часто не хватает телеметрии - наряду с удержанием - необходимо исследовать что-то подобное. Microsoft - редкая организация, в которой есть и то, и другое. Большинство организаций даже не хранят такие журналы в течение нескольких месяцев, поэтому я впечатлен тем, что у них было столько же телеметрии, сколько и у них».
------------------
Подписывайся на наш Телеграм канал https://t.me/itvibenews
