این شرکت فاش کرده است که یک عامل تهدید چینی توانسته به بیش از دوجین حساب ایمیل مایکروسافت متعلق به سازمان های مختلف در غرب دسترسی پیدا کند.
مایکروسافت جزئیات را در مشاوره ای که در وب سایت این شرکت منتشر شد توضیح داد و اشاره کرد که عامل تهدیدی را که به عنوان Storm-0558 دنبال می کند که سازمان های دولتی در اروپای غربی را هدف قرار می دهد، پس از اطلاع از مشتریان در اواسط ژوئن شناسایی کرده است.
تحقیقات عمیق تر نشان داد که Storm-0558 کمپین خود را در اواسط ماه مه امسال آغاز کرد و به حساب های ایمیل تقریباً 25 سازمان از جمله شرکت های دولتی دسترسی پیدا کرد.
جعل توکن های احراز هویت
این شرکت تأیید کرد که این حمله با استفاده از توکنهای احراز هویت فراموشی انجام شده است که به عوامل تهدید اجازه میدهد با استفاده از کلید امضای مشتری حساب کاربری مایکروسافت به ایمیلها دسترسی داشته باشند.
مایکروسافت توضیح داد: «تحقیقات مایکروسافت نشان داد که Storm-0558 با استفاده از Outlook Web Access در Exchange Online (OWA) و Outlook.com با جعل توکنهای احراز هویت برای دسترسی به ایمیل کاربر، به حسابهای ایمیل مشتریان دسترسی پیدا کرده است.
این بازیگر از یک کلید MSA برای جعل توکن برای دسترسی به OWA و Outlook.com استفاده کرد. کلیدهای MSA (مصرف کننده) و کلیدهای Azure AD (تجاری) از سیستم های جداگانه صادر و مدیریت می شوند و فقط باید برای سیستم های مربوطه معتبر باشند. این بازیگر از یک مشکل اعتبارسنجی رمزی برای جعل هویت کاربران Azure AD و دسترسی به نامههای سازمانی استفاده کرد. ما هیچ نشانه ای مبنی بر استفاده از کلیدهای Azure AD یا هر کلید MSA دیگری توسط این بازیگر نداریم. OWA و Outlook.com تنها سرویسهایی هستند که در آن بازیگر را با استفاده از توکنهای جعلی با کلید MSA مشاهده کردهایم.
تله متری مایکروسافت پس از فعالیت نشان می دهد که این حمله با موفقیت کاهش یافته است و Storm-0558 دیگر به این حساب ها دسترسی ندارد. با این حال، این شرکت در مورد آسیبی که در یک ماه زمانی که مهاجمان دسترسی داشتند، صحبت نکرد.
چیزی که تایید کرد این است که این گروه معمولاً بر جاسوسی، سرقت اطلاعات و دسترسی به اعتبار، علیه نهادها در اروپای غربی متمرکز است.
مایکروسافت افزود، زیرا به روز رسانی از طرف شرکت انجام شده است، هیچ کاری برای مشتریان بالقوه تحت تأثیر برای حفظ امنیت وجود ندارد. غول نرمافزاری ردموند گفت که مستقیماً با شرکتهای هدف تماس گرفته و اطلاعات مهم مورد نیاز برای کاهش و واکنش را در اختیار آنها قرار داده است.
مایکروسافت در پایان گفت: “اگر با شما تماس گرفته نشده است، بررسی های ما نشان می دهد که شما تحت تاثیر قرار نگرفته اید.”
آخرین دیدگاهها