مایکروسافت تکذیب می‌کند که هکرهای چینی سرویس‌های ابری آن را نیز کرک کرده باشند

مایکروسافت ادعاهایی مبنی بر اینکه عوامل تهدید چینی که اخیراً به سیستم‌های آن نفوذ کرده‌اند، می‌توانند سرویس‌های ابری آن را نیز کرک کنند، رد کرده است. این شرکت بر ارزیابی قبلی خود مبنی بر اینکه تنها Exchange Online و Outlook.com بودند که در معرض خطر قرار گرفتند، ایستاده است و این شرکت موفق به رفع مشکل و اخراج کلاهبرداران شده است.

در اواسط ژوئیه 2023، مایکروسافت اعلام کرد که یک عامل تهدید معروف به Storm-0558، که ظاهراً یک گروه تحت حمایت دولت چین است، توانسته است به حساب‌های Exchange Online و Azure Active Directory (AD) دسترسی پیدا کند که از جمله بر سازمان‌های دولتی ایالات متحده تأثیر می‌گذارد. بعداً مشخص شد که وزارت امور خارجه ایالات متحده یکی از این آژانس‌ها بوده و کارشناسان امنیت سایبری آن در وهله اول مایکروسافت را در مورد این هک هشدار می‌دهند.

برای نفوذ به سیستم ها، مهاجمان از یک روز صفر در GetAccessTokenForResourceAPI سوء استفاده کردند که به آنها اجازه می داد تا توکن های دسترسی امضا شده و جعل هویت حساب ها را ایجاد کنند. از آن زمان به روز صفر پرداخته شده است.

با این حال، شیر تاماری، محقق امنیت سایبری از ویز، ادعا کرد که تحقیقات آنها نشان می‌دهد که همه برنامه‌های Azure AD که در OpenID نسخه 2.0 شرکت کار می‌کنند تحت تأثیر قرار گرفته‌اند، زیرا کلیدی که کلاهبرداران استفاده می‌کردند می‌توانست هر توکن دسترسی OpenID نسخه 2.0 را امضا کند.

تماری گفت: “این شامل برنامه های مدیریت شده مایکروسافت مانند Outlook، SharePoint، OneDrive و Teams و همچنین برنامه های مشتریانی است که از احراز هویت حساب مایکروسافت پشتیبانی می کنند، از جمله آنهایی که قابلیت “ورود با مایکروسافت” را مجاز می دانند.

اما مایکروسافت معتقد است که اینطور نیست. در بیانیه ای که با رسانه ها به اشتراک گذاشته شد، این شرکت گفت: “بسیاری از ادعاهای مطرح شده در این وبلاگ حدس و گمان هستند و مبتنی بر شواهد نیستند.”

همچنین می گوید که پس از باطل شدن کلید امضای سرقت شده، هیچ مدرکی مبنی بر استفاده از تکنیک مشابه برای دسترسی به حساب های اضافی وجود ندارد. علاوه بر این، این شرکت ادعا می‌کند که Storm-0558 تاکتیک‌های خود را تغییر داده و نشان می‌دهد که کلیدهای امضا دیگر ابزار مفیدی نیستند. در نهایت، غول ردموند در پاسخ به مقاله‌ای در BleepingComputer گفت که این نقص تنها بر کسانی تأثیر می‌گذارد که حساب‌های شخصی را می‌پذیرند و دارای خطای اعتبارسنجی هستند.

تحلیل: چرا مهم است؟

اگر تجزیه و تحلیل Wiz درست باشد و مهاجمان به برنامه‌های بیشتری نسبت به ادعای مایکروسافت دسترسی داشته باشند، دامنه حمله بسیار گسترده‌تر و پیامدهای آن به‌طور قابل‌توجهی بزرگ‌تر است. در حالی که حساب‌های ایمیل بدون شک اطلاعات حساس زیادی را در خود جای داده‌اند، دسترسی به سرویس ذخیره‌سازی ابری مایکروسافت، OneDrive، و همچنین پیام‌رسانی فوری و پلتفرم همکاری آنلاین، Teams، بینش عمیق‌تری را در مورد عملکرد دولت‌های غربی در اختیار مهاجمان قرار می‌دهد.

با توجه به اینکه کل هدف عملیات جاسوسی سایبری بود، این امر باعث موفقیت بزرگ‌تر می‌شود و فشار بی‌نهایتی بر مایکروسافت، اما سایر ارائه‌دهندگان خدمات ابری نیز وارد می‌کند تا امنیت را سخت‌تر کنند و در مورد عملیات خود شفاف‌تر باشند.

علاوه بر این، ارائه‌دهندگان خدمات ابری اکنون تحت فشار بیشتری برای ارائه راه‌حل‌های امنیتی پیشرفته به همه مشتریان، صرف‌نظر از طرح پرداخت، یا سطح آن‌ها خواهند بود. ابزار ثبت گزارش که به وزارت امور خارجه ایالات متحده اجازه می داد در وهله اول نفوذ را شناسایی کند، فقط برای کاربران “E5” – بالاترین سطح پرداخت مایکروسافت – محفوظ بود. بسیاری از سازمان‌های دیگر که برای این سرویس پولی پرداخت نکرده‌اند، هیچ راهی برای اطلاع از نقض و تجزیه و تحلیل داده‌هایشان نداشتند.

اواخر هفته گذشته، مایکروسافت تأیید کرد که 31 گزارش امنیتی بسیار مهم را با استفاده از بسته‌های خدمات ابری ارزان‌تر، از جمله گزارش ایمیلی که وزارت امور خارجه برای شناسایی حمله استفاده می‌کرد، در دسترس مشتریان خود قرار می‌دهد. علاوه بر این، مدت زمان نگهداری لاگ های امنیتی از 90 به 180 روز افزایش می یابد. انتظار می رود این تغییر در سپتامبر 2023 اعمال شود.

دیگران چه گفته اند؟

ویز در تحلیل خود می‌گوید تأثیر کامل این حادثه «بسیار بزرگ‌تر» از آن چیزی است که در ابتدا تصور می‌شد، و می‌گوید این رویداد «پیامدهای طولانی‌مدتی بر اعتماد ما به ابر و مؤلفه‌های اصلی پشتیبانی‌کننده از آن» خواهد داشت.

محققان می‌گویند: «در این مرحله، تعیین میزان کامل این حادثه دشوار است، زیرا میلیون‌ها برنامه کاربردی وجود داشت که به طور بالقوه آسیب‌پذیر بودند، هم برنامه‌های مایکروسافت و هم برنامه‌های مشتری، و اکثر آنها فاقد گزارش‌های کافی برای تعیین اینکه آیا به خطر افتاده بودند یا خیر.» با این حال، برخی از اقدامات حیاتی وجود دارد که دارندگان برنامه باید انجام دهند. اولین و مهم‌ترین مورد این است که Azure SDK خود را به آخرین نسخه به‌روزرسانی کنند و از به‌روزرسانی حافظه پنهان برنامه اطمینان حاصل کنند، در غیر این صورت ممکن است برنامه‌های آن‌ها همچنان در برابر یک عامل تهدید با استفاده از کلید در معرض خطر آسیب‌پذیر باشند.

در صحبت با BleepingComputer، مدیر ارشد فناوری ویز و امی لوتواک، یکی از بنیانگذاران این رویداد توضیح دادند که چرا این حادثه بسیار بزرگتر است و گفت: «همه چیز در دنیای مایکروسافت از توکن‌های تأیید اعتبار Azure Active Directory برای دسترسی استفاده می‌کند. مهاجمی با کلید امضای AAD قوی‌ترین مهاجمی است که می‌توانید تصور کنید، زیرا آنها می‌توانند تقریباً به هر برنامه‌ای دسترسی داشته باشند – مانند هر کاربری. این آخرین ابرقدرت تغییر شکل هوش سایبری است.”

در توییتر، برخی از کاربران نسبت به مایکروسافت همدلی نشان دادند و گفتند که ایمن ماندن باید با سیگنال‌های فراوانی که به صورت روزانه ارائه می‌شوند، بسیار دشوار باشد. با این حال، همه به این اندازه همدل نبودند، یکی از کاربران گفت: «مایکروسافت به طور مداوم محصولاتی را ارائه می‌دهد که در مواقعی «بر اساس طراحی شکسته» دیده می‌شوند و هرگز نیازی به پاسخگویی نداشته است. آنها تحقیق می کنند، گزارش می دهند، توضیح می دهند، کنترل می کنند و خود را توجیه می کنند. طنز چند دهه تلاش لازم.”

عمیق تر برو

اگر می خواهید درباره این حمله بیشتر بدانید، حتما گزارش اولیه ما را بخوانید. همچنین، باید راهنمای عمیق ما در مورد فیشینگ چیست، بهترین فایروال برای یک SMB و راهنمای ما در مورد بهترین ابزارهای حذف بدافزار در حال حاضر را بخوانید.

از طریق: BleepingComputer