مایکروسافت ادعاهایی مبنی بر اینکه عوامل تهدید چینی که اخیراً به سیستمهای آن نفوذ کردهاند، میتوانند سرویسهای ابری آن را نیز کرک کنند، رد کرده است. این شرکت بر ارزیابی قبلی خود مبنی بر اینکه تنها Exchange Online و Outlook.com بودند که در معرض خطر قرار گرفتند، ایستاده است و این شرکت موفق به رفع مشکل و اخراج کلاهبرداران شده است.
در اواسط ژوئیه 2023، مایکروسافت اعلام کرد که یک عامل تهدید معروف به Storm-0558، که ظاهراً یک گروه تحت حمایت دولت چین است، توانسته است به حسابهای Exchange Online و Azure Active Directory (AD) دسترسی پیدا کند که از جمله بر سازمانهای دولتی ایالات متحده تأثیر میگذارد. بعداً مشخص شد که وزارت امور خارجه ایالات متحده یکی از این آژانسها بوده و کارشناسان امنیت سایبری آن در وهله اول مایکروسافت را در مورد این هک هشدار میدهند.
برای نفوذ به سیستم ها، مهاجمان از یک روز صفر در GetAccessTokenForResourceAPI سوء استفاده کردند که به آنها اجازه می داد تا توکن های دسترسی امضا شده و جعل هویت حساب ها را ایجاد کنند. از آن زمان به روز صفر پرداخته شده است.
با این حال، شیر تاماری، محقق امنیت سایبری از ویز، ادعا کرد که تحقیقات آنها نشان میدهد که همه برنامههای Azure AD که در OpenID نسخه 2.0 شرکت کار میکنند تحت تأثیر قرار گرفتهاند، زیرا کلیدی که کلاهبرداران استفاده میکردند میتوانست هر توکن دسترسی OpenID نسخه 2.0 را امضا کند.
تماری گفت: “این شامل برنامه های مدیریت شده مایکروسافت مانند Outlook، SharePoint، OneDrive و Teams و همچنین برنامه های مشتریانی است که از احراز هویت حساب مایکروسافت پشتیبانی می کنند، از جمله آنهایی که قابلیت “ورود با مایکروسافت” را مجاز می دانند.
اما مایکروسافت معتقد است که اینطور نیست. در بیانیه ای که با رسانه ها به اشتراک گذاشته شد، این شرکت گفت: “بسیاری از ادعاهای مطرح شده در این وبلاگ حدس و گمان هستند و مبتنی بر شواهد نیستند.”
همچنین می گوید که پس از باطل شدن کلید امضای سرقت شده، هیچ مدرکی مبنی بر استفاده از تکنیک مشابه برای دسترسی به حساب های اضافی وجود ندارد. علاوه بر این، این شرکت ادعا میکند که Storm-0558 تاکتیکهای خود را تغییر داده و نشان میدهد که کلیدهای امضا دیگر ابزار مفیدی نیستند. در نهایت، غول ردموند در پاسخ به مقالهای در BleepingComputer گفت که این نقص تنها بر کسانی تأثیر میگذارد که حسابهای شخصی را میپذیرند و دارای خطای اعتبارسنجی هستند.
تحلیل: چرا مهم است؟
اگر تجزیه و تحلیل Wiz درست باشد و مهاجمان به برنامههای بیشتری نسبت به ادعای مایکروسافت دسترسی داشته باشند، دامنه حمله بسیار گستردهتر و پیامدهای آن بهطور قابلتوجهی بزرگتر است. در حالی که حسابهای ایمیل بدون شک اطلاعات حساس زیادی را در خود جای دادهاند، دسترسی به سرویس ذخیرهسازی ابری مایکروسافت، OneDrive، و همچنین پیامرسانی فوری و پلتفرم همکاری آنلاین، Teams، بینش عمیقتری را در مورد عملکرد دولتهای غربی در اختیار مهاجمان قرار میدهد.
با توجه به اینکه کل هدف عملیات جاسوسی سایبری بود، این امر باعث موفقیت بزرگتر میشود و فشار بینهایتی بر مایکروسافت، اما سایر ارائهدهندگان خدمات ابری نیز وارد میکند تا امنیت را سختتر کنند و در مورد عملیات خود شفافتر باشند.
علاوه بر این، ارائهدهندگان خدمات ابری اکنون تحت فشار بیشتری برای ارائه راهحلهای امنیتی پیشرفته به همه مشتریان، صرفنظر از طرح پرداخت، یا سطح آنها خواهند بود. ابزار ثبت گزارش که به وزارت امور خارجه ایالات متحده اجازه می داد در وهله اول نفوذ را شناسایی کند، فقط برای کاربران “E5” – بالاترین سطح پرداخت مایکروسافت – محفوظ بود. بسیاری از سازمانهای دیگر که برای این سرویس پولی پرداخت نکردهاند، هیچ راهی برای اطلاع از نقض و تجزیه و تحلیل دادههایشان نداشتند.
اواخر هفته گذشته، مایکروسافت تأیید کرد که 31 گزارش امنیتی بسیار مهم را با استفاده از بستههای خدمات ابری ارزانتر، از جمله گزارش ایمیلی که وزارت امور خارجه برای شناسایی حمله استفاده میکرد، در دسترس مشتریان خود قرار میدهد. علاوه بر این، مدت زمان نگهداری لاگ های امنیتی از 90 به 180 روز افزایش می یابد. انتظار می رود این تغییر در سپتامبر 2023 اعمال شود.
دیگران چه گفته اند؟
ویز در تحلیل خود میگوید تأثیر کامل این حادثه «بسیار بزرگتر» از آن چیزی است که در ابتدا تصور میشد، و میگوید این رویداد «پیامدهای طولانیمدتی بر اعتماد ما به ابر و مؤلفههای اصلی پشتیبانیکننده از آن» خواهد داشت.
محققان میگویند: «در این مرحله، تعیین میزان کامل این حادثه دشوار است، زیرا میلیونها برنامه کاربردی وجود داشت که به طور بالقوه آسیبپذیر بودند، هم برنامههای مایکروسافت و هم برنامههای مشتری، و اکثر آنها فاقد گزارشهای کافی برای تعیین اینکه آیا به خطر افتاده بودند یا خیر.» با این حال، برخی از اقدامات حیاتی وجود دارد که دارندگان برنامه باید انجام دهند. اولین و مهمترین مورد این است که Azure SDK خود را به آخرین نسخه بهروزرسانی کنند و از بهروزرسانی حافظه پنهان برنامه اطمینان حاصل کنند، در غیر این صورت ممکن است برنامههای آنها همچنان در برابر یک عامل تهدید با استفاده از کلید در معرض خطر آسیبپذیر باشند.
در صحبت با BleepingComputer، مدیر ارشد فناوری ویز و امی لوتواک، یکی از بنیانگذاران این رویداد توضیح دادند که چرا این حادثه بسیار بزرگتر است و گفت: «همه چیز در دنیای مایکروسافت از توکنهای تأیید اعتبار Azure Active Directory برای دسترسی استفاده میکند. مهاجمی با کلید امضای AAD قویترین مهاجمی است که میتوانید تصور کنید، زیرا آنها میتوانند تقریباً به هر برنامهای دسترسی داشته باشند – مانند هر کاربری. این آخرین ابرقدرت تغییر شکل هوش سایبری است.”
در توییتر، برخی از کاربران نسبت به مایکروسافت همدلی نشان دادند و گفتند که ایمن ماندن باید با سیگنالهای فراوانی که به صورت روزانه ارائه میشوند، بسیار دشوار باشد. با این حال، همه به این اندازه همدل نبودند، یکی از کاربران گفت: «مایکروسافت به طور مداوم محصولاتی را ارائه میدهد که در مواقعی «بر اساس طراحی شکسته» دیده میشوند و هرگز نیازی به پاسخگویی نداشته است. آنها تحقیق می کنند، گزارش می دهند، توضیح می دهند، کنترل می کنند و خود را توجیه می کنند. طنز چند دهه تلاش لازم.”
عمیق تر برو
اگر می خواهید درباره این حمله بیشتر بدانید، حتما گزارش اولیه ما را بخوانید. همچنین، باید راهنمای عمیق ما در مورد فیشینگ چیست، بهترین فایروال برای یک SMB و راهنمای ما در مورد بهترین ابزارهای حذف بدافزار در حال حاضر را بخوانید.
از طریق: BleepingComputer
آخرین دیدگاهها