Microsoft’un çalınan anahtarı beklenenden daha güçlü
Güvenlik firması Wiz’e göre, Çinli saldırganların devlet kurumlarının e-postalarını gözetlemek için kullandıkları çalınan Microsoft anahtarını tespit etmeyi başardı. Sonuç olarak, bu saldırganlar Sharepoint veya Teams gibi neredeyse tüm Microsoft bulut uygulamalarına erişim elde etmiş olabilir. “Microsoft ile Oturum Aç” ile buluttaki müşteri uygulamaları da bu nedenle büyük ölçüde açılabilirdi. Bu fırsatlardan gerçekten yararlanıp yararlanmadıkları bilinmiyor çünkü Microsoft anlamsız inkarların arkasına saklanıyor.
Duyuru
Bulut fiyaskosu
Haziran ortasında bir ABD yetkilisi, bulut devi Microsoft’un dikkatini çevrimiçi takas hesaplarındaki garip işlemlere çekti. E-postalarına yapılan şüpheli erişimi, Microsoft’un bir ürün olarak ayrı olarak sunduğu günlük verilerine kaydetmişlerdi. Daha sonraki analizler, Microsoft’un ifşa etmeye isteksiz ve parça parça ifşa ettiği çok büyük oranlarda bir fiyaskoyu ortaya çıkardı. Microsoft’un Storm-0558 olarak adlandırdığı şüpheli Çinli saldırganlar, öncelikle Avrupa devlet kurumları için Microsoft tarafından barındırılan Exchange Online’a erişim elde etmişti.
Saldırganlar bu amaçla Microsoft’tan Outlook Web Access (OWA) ve Outlook.com için çalışan erişim belirteçleri vermek ve ardından diğer şeylerin yanı sıra e-postaları ve eklerini indirmek için komut dosyalarını kullanmak için kullanabilecekleri bir imzalama anahtarı çalmışlardı. Aradan bir ay geçmesine rağmen Microsoft, bu hırsızlığın nasıl başarılı olduğunu hâlâ açıklayamıyor veya açıklamak istemiyor. Ayrıca şirket, imzalama anahtarıyla verilen belirteçlerin hiçbir şekilde çalıştığını yeterince açıklamıyor: Geçerlilik kontrolünde (“doğrulama sorunu”) bir sorun, gerçekte yalnızca özel müşteri hesapları (MSA) için tasarlanan dijital imzanın, kurumsal müşteriler için Azure Active Directory’de de çalışmasına neden oldu. Diğer bir karmaşıklık ise, Microsoft’un bu güvenlik ve gizlilik felaketinden etkilenen ürünleri açıkça adlandırmaktan kasıtlı olarak kaçınmasıdır. (Daha fazla bilgi için: Microsoft, Exchange Online fiyaskosuna yanıt veriyor: Herkes için daha fazla günlük)
Bu OpenID imzalama anahtarı Microsoft’tan çalındı. Çok geniş hakları vardı, nedenini kimse bilmiyor.
(Resim: Wiz Araştırması)
Microsoft’un bulut dünyasının ana anahtarı
Bulut güvenliği konusunda uzmanlaşmış Wiz şirketi tarafından yapılan bir analiz, her şeyin çok daha kötü olduğunu öne sürerek zaten belirsiz olan bu duruma şimdi de giriyor. Araştırmacılar çalınan anahtarı aramaya çıktılar ve kendi ifadelerine göre aslında Microsoft tarafından yayınlanan parmak izini kullanarak anahtarı teşhis ettiler. Daha sonra, halka açık olan ve örneğin İnternet Arşivinde belgelenen geçerli imzalama anahtarlarının listelerine baktılar ve çalınan anahtarın yalnızca Microsoft’un Exchange Online’da değil, Microsoft’un bulutunun hemen hemen her yerinde kilitli olduğunu gördüler.
Saldırganlar, etkilenen tüm bulut uygulamalarının kullanıcı hesaplarına erişmek için çalınan anahtarı kullanabilir.
(Resim: Wiz Araştırması)
Çalınan anahtar, Azure Active Directory (Azure AD veya AAD) için bir OpenID imzalama anahtarıdır. Bu, Microsoft’un tanınmış bulut kullanıcılarının bir tür telefon defteri olan bulut dizin hizmetidir. Ve Wiz’e göre, bu imzalama anahtarı, neredeyse tüm Microsoft bulut hizmetlerinde kullanıcı hesapları için erişim belirteçleri oluşturmak için kullanılabilir. Yani sadece Outlook değil, Office, Sharepoint ve Teams de. Ama daha da kötüye gidiyor:
Duyuru
“Kişisel hesaplar ve karma izleyici (çok kiracılı veya kişisel hesap) AAD uygulamaları için herhangi bir OpenID v2.0 erişim belirtecini imzalamak için güvenliği ihlal edilmiş anahtara güvenildi.”
Başka bir deyişle, örneğin diğer AAD örneklerine de güvenmiş ve “Microsoft ile oturum aç” özelliğini etkinleştirmiş olsalardı, Stormtrooper’lar şirketlerin kendi yönetilen Azure AD örneklerine ve bulut uygulamalarına kolayca girebilirdi. Bu, Microsoft’un olmak isteyeceği büyük bir kimlik sağlayıcı için en kötü durum senaryosu olacaktır.
Microsoft artık güvenliği ihlal edilmiş anahtarı engelledi, bu nedenle ona daha fazla erişim mümkün olmamalıdır. Ancak, neredeyse tüm Microsoft bulutu olan etkilenen hesaplara arka kapılar sağlamak için erişimi önceden kullanmak kesinlikle mümkün olabilirdi. Aslında, artık yetkisiz etkinlik için her bir AAD ve Microsoft hesabını kontrol ediyor olmalısınız. Ama nasıl yapılır?
belirsiz ölçü
Şimdiye kadar, Storm-0558’in – veya başka bir saldırı gücünün – Microsoft’un bugüne kadar kabul ettiğinin ötesinde bu ahır kapısını gerçekten kullandığına dair bir kanıt yok. Ancak bunun nedeni, Microsoft tarafından şu ana kadar sağlanan çok zayıf bilgiler ve güvenlik kaygıları nedeniyle bulut hizmetlerini denetlemek için yapay olarak sınırlı seçenekler olabilir. Microsoft daha önce bu günlük verilerine erişim için ek bir ücret talep etmişti; Microsoft, yalnızca bu güvenlik fiyaskosu öğrenildikten sonra yumuşadı ve bu kayıt defteri verilerine erişimi gelecekte hiçbir ek ücret ödemeden serbest bırakmayı planlıyor.
Genel olarak, bulut tekelcisi Microsoft, yalnızca tam olarak baskı altında olması gereken miktarda bilgiyi ifşa eder. Bir şirket sözcüsü, Wiz’in yayınına yalnızca her şeyi “büyük ölçüde spekülatif ve gerçeklere dayalı olmadığı” gerekçesiyle reddeden bir açıklamayla yanıt verdi. Ancak aynı zamanda kendileri de iddiaları doğrulayabilecek veya çürütebilecek herhangi bir gerçek sunmadılar.
değerlendirme
Benim açımdan: Microsoft, hizmetleri dünya çapında şirketler, kuruluşlar, yetkililer ve bireyler tarafından kullanılan ilk üç bulut sağlayıcısından biridir. Bu bulut teklifleri, Microsoft’un hataları ve eksiklikleri nedeniyle açılmış olabilir. Microsoft’un kendisi yalnızca en gerekli bilgileri sağlar ve sonuç olarak hiç kimse gerçekte ne olduğunu ve kimin veya neyin etkilendiğini tam olarak bilemez. Microsoft’tan daha fazla şeffaflık, bu olayla ilgili tüm bilgilerin ifşası ve hepsinden önemlisi, olası yetkisiz erişimi doğrulamak için özel yardım talep etmek artık müşteriye kalmıştır. Ve Microsoft teslim etmezse, diğer seçenekleri tartışmanın zamanı geldi.
(Evet)
Haberin Sonu