Поделиться
Китайские хакеры извлекли секретный ключ из аварийного дампа Windows
Как показало расследование Microsoft, хакеры, взломавшие два с лишним десятка правительственных учреждений в США, умело воспользовались ключом, случайно попавшим в аварийный дамп Windows. Без уязвимости нулевого дня тоже не обошлось.
Как умело воспользоваться тем, что нашлось там, где его не должно было быть
Хакерам из китайской APT Storm-0558 удалось выкрасть ключ подписи MSA (управляемых учётных записей служб) из аварийного дампа Windows; как установили эксперты Microsoft, этот ключ впоследствии использовался в атаках на Exchange Online и Azure Active Directory более чем двух десятков правительственных учреждений в США.
Источником дампа стал компьютер одного из разработчиков непосредственно в Microsoft; злоумышленники скомпрометировали его корпоративный аккаунт, используя уязвимость нулевого дня в GetAccessTokenForResourceAPI.
Это позволило им подделывать токены безопасного доступа и создавать аккаунты в сетях целевых организаций, не привлекая никаких подозрений.
В ходе расследования эксперты Microsoft обнаружили, что ключ MSA оказался там, где его быть не должно, - в аварийном дампе пользовательской версии Windows.
Как отмечает издание Infosecurity Magazine, в апреле 2021 случился сбой системы электронной подписи в Windows. Вследствие возникшего состояния гонки (конкурентного доступа к данным), ключ оказался в дампе, который, к тому же, оказался вне защищённой производственной среды Microsoft.
Хуже того, система, которая должна была обнаружить нежелательные данные в аварийном дампе, на ключ подписи не среагировала вовсе - ни до того, как дамп перенесли в отладочную среду, ни после его вывода из неё.
Разработчик, 0-day и масштабы бедствия
Спустя непродолжительное время хакеры Storm-0558 скомпрометировали корпоративный аккаунт разработчика Microsoft, у которого был доступ к отладочной среде (где всё ещё находился дамп с ключом).
В публикации Microsoft отмечено, что этот сценарий представляется наиболее вероятным. Логи, которые бы подтвердили или опровергли взлом именно со стороны Storm-0558, не сохранились в связи с корпоративными установками времени хранения.
«Наши методы сканирования реквизитов доступа не выявили присутствия атакующих (эта проблема впоследствии была исправлена)», - говорится в публикации Microsoft.
Об инциденте Microsoft стало известно в июле. Тогда же компания сообщила, что атакам подвергались только Exchange Online и Outlook.
Однако позднее эксперт компании Wiz Шир Тамари (Shir Tamari) заявил, что скомпрометированный ключ на самом деле обеспечил атакующим доступ к весьма обширному диапазону облачных ресурсов Microsoft и множеству приложений, в том числе SharePoint, OneDrive и Teams. Под угрозой оказались также пользовательские приложения, поддерживающие авторизацию через аккаунты Microsoft.
Технический директор Wiz Ами Люттвак (Ami Luttwak) заявил, что в экосистеме Microsoft токены авторизации Azure Active Directory используются повсеместно, так что злоумышленник с ключом подписи для AAD чуть ли ни всемогущим.
В Microsoft, однако, заявили, что скомпрометированный ключ может быть использован только против приложений, поддерживающих персональные аккаунты и в которых присутствовала устранённая к настоящему времени ошибка валидации.
«Хакерам, с одной стороны, повезло - доступ им обеспечила серия случайных ошибок. С другой стороны, Storm-0558 продемонстрировали очень серьёзный уровень подготовки и знание систем Microsoft, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Так умело воспользоваться подвернувшейся возможностью смог бы далеко не всякий профессионал».
Перестаньте жадничать с логами
Microsoft отозвала все ключи MSA, тем самым перекрыв хакерам доступ к другим скомпрометированным ключам и заблокировав попытки сгенерировать новые токены доступа. Наиболее свежие токены были переведены в хранилище ключей для собственных корпоративных систем компании.
Под давлением CISA Microsoft Также обеспечила бесплатный доступ к облачным логам - ранее он был доступен только премиальным клиентам. Сейчас критики компании утверждают, что если бы этот доступ был общедоступным ранее, многие атаки Storm-0558 удалось бы заблокировать.
Короткая ссылка
