Een reeks ongelukkige Door opeenvolgende fouten kon een door China gesteunde hackgroep een van de sleutels stelen van het e-mailkoninkrijk van Microsoft, dat vrijwel onbelemmerde toegang verleende tot de inbox van de Amerikaanse overheid. Microsoft legde deze week in een langverwachte blogpost uit hoe de hackers de overval tot stand brachten. Maar hoewel één mysterie is opgelost, blijven verschillende belangrijke details onbekend.
Om samen te vatten: Microsoft maakte in juli bekend dat hackers die het Storm-0558 noemt en waarvan het denkt dat deze door China worden gesteund, een e-mailondertekeningssleutel hebben ‘verkregen’ die Microsoft gebruikt om e-mailaccounts van consumenten zoals Outlook.com te beveiligen. De hackers gebruikten die digitale skeletsleutel om in te breken in zowel de persoonlijke als zakelijke e-mailaccounts van overheidsfunctionarissen die door Microsoft worden gehost. De hack wordt gezien als een gerichte spionagecampagne gericht op het snuffelen in de niet-geclassificeerde e-mails van Amerikaanse overheidsfunctionarissen en diplomaten, waaronder naar verluidt de Amerikaanse minister van Handel Gina Raimondo en de Amerikaanse ambassadeur in China Nicholas Burns.
Hoe de hackers aan die e-mailondertekeningssleutel voor consumenten kwamen, was een mysterie – zelfs voor Microsoft – totdat de technologiegigant deze week te laat de vijf afzonderlijke problemen onthulde die tot het uiteindelijke lekken van de sleutel leidden.
Microsoft zei in zijn blogpost dat in april 2021 een systeem dat werd gebruikt als onderdeel van het ondertekeningsproces voor consumentensleutels crashte. De crash leverde een momentopname van het systeem op voor latere analyse. Dit systeem voor het ondertekenen van consumentensleutels wordt bewaard in een “zeer geïsoleerde en beperkte” omgeving waar internettoegang wordt geblokkeerd ter verdediging tegen een reeks cyberaanvallen. Buiten het medeweten van Microsoft, toen het systeem crashte, bevatte de snapshot-afbeelding per ongeluk een kopie van de handtekeningsleutel 1️⃣ van de consument, maar de systemen van Microsoft konden de sleutel in de snapshot 2️⃣ niet detecteren.
Het momentopnamebeeld werd “vervolgens verplaatst van het geïsoleerde productienetwerk naar onze foutopsporingsomgeving op het met internet verbonden bedrijfsnetwerk” om te begrijpen waarom het systeem crashte. Microsoft zei dat dit consistent was met het standaard foutopsporingsproces, maar dat de scanmethoden van het bedrijf ook de aanwezigheid van de sleutel in de snapshot-afbeelding 3️⃣ niet detecteerden.
Toen, op een bepaald moment nadat de snapshot-afbeelding in april 2021 naar het bedrijfsnetwerk van Microsoft was verplaatst, zei Microsoft dat de Storm-0558-hackers in staat waren om “met succes een Microsoft-ingenieur in gevaar te brengen”, die toegang had tot de foutopsporingsomgeving waar de snapshot afbeelding met de handtekeningsleutel van de consument is opgeslagen. Microsoft zei dat het niet helemaal zeker kan zijn dat dit de manier was waarop de sleutel werd gestolen, omdat “we geen logboeken hebben met specifiek bewijs van deze exfiltratie”, maar zei dat dit het “meest waarschijnlijke mechanisme was waarmee de acteur de sleutel verwierf.”
Wat betreft de manier waarop de consumentenondertekeningssleutel toegang verleende tot zakelijke en zakelijke e-mailaccounts van verschillende organisaties en overheidsafdelingen, zei Microsoft dat zijn e-mailsystemen de sleutelvalidatie niet automatisch of correct uitvoerden 4️⃣, wat betekende dat het e-mailsysteem van Microsoft “een verzoek voor zakelijke toegang zou accepteren e-mailen met behulp van een beveiligingstoken ondertekend met de consumentensleutel”, aldus het bedrijf.
Mysterie opgelost? Niet helemaal
De erkenning van Microsoft dat de handtekeningsleutel voor consumenten waarschijnlijk van zijn eigen systemen is gestolen, maakt een einde aan een theorie dat de sleutel mogelijk elders is verkregen.
Maar de omstandigheden waaronder de indringers precies Microsoft hebben gehackt, blijven een open vraag. Toen hij om commentaar werd gevraagd, vertelde Jeff Jones, senior directeur bij Microsoft, aan TechCrunch dat het account van de ingenieur was gecompromitteerd met behulp van “tokenstelende malware”, maar weigerde verder commentaar te geven.
Tokenstelende malware, die kan worden verspreid via phishing of kwaadaardige links, zoekt naar sessietokens op de computer van een slachtoffer. Sessietokens zijn kleine bestanden waarmee gebruikers permanent ingelogd kunnen blijven zonder voortdurend een wachtwoord opnieuw in te voeren of opnieuw te autoriseren met tweefactorauthenticatie. Als zodanig kunnen gestolen sessietokens een aanvaller dezelfde toegang verlenen als de gebruiker, zonder dat hij het wachtwoord of de tweefactorcode van de gebruiker nodig heeft.
Het is een vergelijkbare aanvalsmethode als de manier waarop Uber vorig jaar werd gehackt door een tienerhackersploeg genaamd Lapsus$, die afhankelijk was van malware om wachtwoorden van Uber-werknemers of sessietokens te stelen. Softwarebedrijf CircleCi werd in januari ook op soortgelijke wijze gecompromitteerd nadat de antivirussoftware die het bedrijf gebruikte er niet in slaagde tokenstelende malware op de laptop van een ingenieur te detecteren. Ook LastPass had te maken met een groot datalek in de wachtwoordkluizen van klanten nadat hackers inbraken in de cloudopslag van het bedrijf via de computer van een gecompromitteerde LastPass-ontwikkelaar.
Hoe het account van de Microsoft-ingenieur werd gecompromitteerd, is een belangrijk detail dat netwerkverdedigers zou kunnen helpen een soortgelijk incident in de toekomst te voorkomen. Het is niet duidelijk of de door het werk verstrekte computer van de ingenieur is gecompromitteerd, of dat het een persoonlijk apparaat was dat Microsoft op zijn netwerk toestond. In ieder geval lijkt de focus op een individuele ingenieur oneerlijk, aangezien de echte boosdoeners voor het compromis het netwerkbeveiligingsbeleid is dat er niet in slaagde de (hoewel zeer bekwame) indringer te blokkeren.
Wat wel duidelijk is, is dat cyberbeveiliging ongelooflijk moeilijk is, zelfs voor megagiganten uit het bedrijfsleven met vrijwel onbeperkte contanten en middelen. De technici van Microsoft hebben een breed scala van de meest complexe bedreigingen en cyberaanvallen bedacht en overwogen bij het ontwerpen van beveiligingen en verdedigingen voor de meest gevoelige en kritieke systemen van het bedrijf, zelfs als deze verdedigingen uiteindelijk faalden. Of Storm-0558 nu wist dat het de sleutels tot het e-mailkoninkrijk van Microsoft zou vinden toen het het netwerk van het bedrijf hackte, of dat het puur toeval en pure timing was, het herinnert ons er duidelijk aan dat cybercriminelen vaak maar één keer succesvol hoeven te zijn.
Er lijkt geen passende analogie te bestaan om deze unieke inbreuk of omstandigheden te beschrijven. Het is mogelijk om onder de indruk te zijn van de veiligheid van de kluis van een bank en toch de inspanningen te erkennen van de overvallers die heimelijk de buit binnenin hebben gestolen.
Het zal nog enige tijd duren voordat de volledige omvang van de spionagecampagne duidelijk wordt, en de resterende slachtoffers wier e-mails zijn geopend, moeten nog openbaar worden gemaakt. De Cyber Security Review Board, een orgaan van beveiligingsexperts belast met het begrijpen van de lessen die zijn getrokken uit grote cyberbeveiligingsincidenten, zei dat het de e-mailschending van Microsoft zal onderzoeken en een bredere beoordeling zal uitvoeren van problemen “met betrekking tot cloudgebaseerde identiteits- en authenticatie-infrastructuur.”
Source link: https://techcrunch.com/2023/09/08/microsoft-hacker-china-government-storm-0558/
