Для большинства ИТ-специалистов переход в облако стал настоящей находкой. Вместо того, чтобы защищать ваши данные самостоятельно, позвольте их защитить экспертам по безопасности из Google или Microsoft. Но когда единственный украденный ключ может позволить хакерам получить доступ к облачным данным десятков организаций, такой компромисс начинает казаться гораздо более рискованным.
Поздний вечер вторника, Microsoft раскрытый что именно это сделала китайская хакерская группа под названием Storm-0558. Группа, занимающаяся шпионажем против правительств стран Западной Европы, получила доступ к облачным системам электронной почты Outlook 25 организаций, включая несколько правительственных учреждений.
Эти цели охватывают правительственные учреждения США, включая Государственный департамент, по данным CNN, хотя официальные лица США все еще работают над выяснением полного масштаба и последствий нарушений. Ан Рекомендации Агентства кибербезопасности и безопасности инфраструктуры США.
говорит, что нарушение, обнаруженное в середине июня правительственным агентством США, привело к краже несекретных данных электронной почты «из небольшого количества учетных записей».Китай на протяжении десятилетий неустанно взламывает западные сети. Но эта последняя атака использует уникальный трюк: Microsoft утверждает, что хакеры украли криптографический ключ, который позволяет им генерировать свои собственные «токены» аутентификации — строки информации, предназначенные для подтверждения личности пользователя, — предоставляющие ему полную свободу действий в десятках Microsoft счета клиентов.
«Мы доверяли паспортам, и кто-то украл машину для печати паспортов», — говорит Джейк Уильямс, бывший хакер АНБ, который сейчас преподает в Институте прикладной сетевой безопасности в Бостоне. «Для такого крупного магазина, как Microsoft, с таким количеством клиентов, которых это затронуло (или тех, кого это могло затронуть), это беспрецедентно».
В облачных веб-системах браузеры пользователей подключаются к удаленному серверу, и когда они вводят учетные данные, такие как имя пользователя и пароль, им предоставляется небольшой объем данных, известный как токен, с этого сервера. Токен служит своего рода временным удостоверением личности, которое позволяет пользователям приходить и уходить в облачной среде в любое время, лишь изредка повторно вводя свои учетные данные. Чтобы гарантировать, что токен невозможно подделать, он криптографически подписан уникальной строкой данных. известный как сертификат или ключ, которым обладает облачный сервис, своего рода не подделываемая печать подлинность.
Microsoft в своем Сообщение блога раскрывая нарушения в китайской Outlook, описал своего рода двухэтапный сбой в этой системе аутентификации. Во-первых, хакерам каким-то образом удалось украсть ключ, который Microsoft использует для подписи токенов для пользователей своих облачных сервисов потребительского уровня. Во-вторых, хакеры воспользовались ошибкой в системе проверки токенов Microsoft, которая позволяла им подписывать токены потребительского уровня с украденным ключом, а затем использовать их для доступа к системам корпоративного уровня. Все это произошло несмотря на попытку Microsoft проверить подписи разных ключей для разных классов токенов.
Microsoft заявляет, что теперь заблокировала все токены, подписанные с помощью украденного ключа, и заменила ключ новым, не позволяя хакерам получить доступ к системам жертв. Компания добавляет, что с момента кражи она также работала над повышением безопасности своих «систем управления ключами».
Но как именно мог быть украден столь конфиденциальный ключ, обеспечивающий такой широкий доступ, остается неизвестным. WIRED связался с Microsoft, но компания отказалась от дальнейших комментариев.
В отсутствие более подробной информации от Microsoft, одна из версий того, как произошла кража, заключается в том, что ключ подписи токена на самом деле не был украден у Microsoft. вообще, по словам Тала Скверера, который возглавляет исследования в компании безопасности Astrix, которая ранее в этом году обнаружила проблему безопасности токенов в Google облако. В старых версиях Outlook служба размещается и управляется на сервере, принадлежащем клиенту, а не в облаке Microsoft. Это могло позволить хакерам украсть ключ из одной из таких «локальных» установок в сети клиента.
