Në një gafë të madhe, llogarisë testuese të Microsoft-it të hakuar iu caktuan privilegje administratori
Malware Detected Warning Screen with abstract binary code 3d digital concept
Hakerët që së fundmi hynë në rrjetin e Microsoft dhe monitoruan emailin e drejtuesve të lartë për dy muaj e bënë këtë duke fituar akses në një llogari testimi të vjetëruar me privilegje administrative, një gafë e madhe nga ana e kompanisë, tha një studiues.
Detajet e reja u dhanë në një gjuhë të paqartë, përfshirë në një postim të Microsoft-it të publikuar të enjten. Ai u zgjerua në një zbulim të publikuar nga Microsoft të premten e kaluar . Hakerët e shtetit rus, tha Microsoft, përdorën një teknikë të njohur si spërkatje me fjalëkalim për të shfrytëzuar një kredencial të dobët për hyrjen në një “llogari qiramarrëse të testit jo-prodhues të trashëguar” që nuk mbrohej nga vërtetimi me shumë faktorë. Nga atje, ata fituan disi aftësinë për të hyrë në llogaritë e postës elektronike që u përkisnin drejtuesve të lartë dhe punonjësve që punonin në ekipet e sigurisë dhe ligjore.
Në postimin e së enjtes duke përditësuar klientët mbi gjetjet nga hetimi i tij në vazhdim, Microsoft dha më shumë detaje se si hakerat arritën këtë përshkallëzim monumental të aksesit. Hakerët, pjesë e një grupi që Microsoft ndjek si Midnight Blizzard, fituan akses të vazhdueshëm në llogaritë e privilegjuara të emailit duke abuzuar me protokollin e autorizimit OAuth, i cili përdoret në të gjithë industrinë për të lejuar një sërë aplikacionesh të aksesojnë burimet në një rrjet. Pas kompromentimit të qiramarrësit testues, Midnight Blizzard e përdori atë për të krijuar një aplikacion keqdashës dhe për t’i caktuar të drejtat për të hyrë në çdo adresë emaili në shërbimin e emailit Office 365 të Microsoft.
Në përditësimin e së enjtes, zyrtarët e Microsoft thanë të njëjtën gjë, megjithëse në një gjuhë që errësoi gjerësisht shtrirjen e gabimit të madh. Ata shkruan:
Aktorët e kërcënimit si Midnight Blizzard komprometojnë llogaritë e përdoruesve për të krijuar, modifikuar dhe dhënë leje të larta për aplikacionet OAuth që mund t’i keqpërdorin për të fshehur aktivitetin keqdashës. Keqpërdorimi i OAuth gjithashtu u mundëson aktorëve të kërcënimit të mbajnë akses në aplikacione, edhe nëse humbasin aksesin në llogarinë e komprometuar fillimisht. Midnight Blizzard përdori aksesin e tyre fillestar për të identifikuar dhe komprometuar një aplikacion OAuth të testit të trashëguar që kishte akses të lartë në mjedisin e korporatës Microsoft. Aktori krijoi aplikacione shtesë me qëllim të keq OAuth. Ata krijuan një llogari të re përdoruesi për të dhënë pëlqimin në mjedisin e korporatës Microsoft për aplikacionet me qëllim të keq të OAuth të kontrolluara nga aktori. Aktori i kërcënimit më pas përdori aplikacionin e testit të trashëgimisë OAuth për t’i dhënë atyre rolin full_access_as_app Office 365 Exchange Online, i cili lejon aksesin në kutitë postare.
Kevin Beaumont – një studiues dhe profesionist sigurie me dekada përvojë, duke përfshirë një periudhë pune për Microsoft – vuri në dukje në Mastodon se e vetmja mënyrë që një llogari t’i caktojë rolin e plotfuqishëm full_access_as_app një aplikacioni OAuth është që llogaria të ketë administrator privilegje. “Dikush,” tha ai, “bëri një gabim mjaft të madh konfigurimi në prodhim.”
Ka një arsye të mirë për të kufizuar rreptësisht llogaritë që mund të caktojnë një akses kaq të gjerë në një aplikacion OAuth. Është e vështirë të parashikohet një arsye legjitime për caktimin dhe ruajtjen e të drejtave të tilla për një llogari testimi, veçanërisht një që ka arritur statusin e trashëgimisë.
Ajo që e bën konfigurimin e llogarisë së testimit një tabu të tillë sigurie është se ajo theu rrjetin e synuar të sigurisë që kufizimet supozohet të ofrojnë. Një nga praktikat më themelore të sigurisë së rrjetit është parimi i privilegjit më të vogël. Llogaritë duhet të konfigurohen gjithmonë me sa më pak privilegje të nevojshme për të kryer detyrat e caktuara. Në rastin në fjalë, është e vështirë të kuptosh pse llogaria testuese e trashëguar ka nevojë për privilegje administratori.
“Është pak si të kesh një përdorues Domain Admin për sistemin e prodhimit… përveç se është një domen testimi, pa siguri, MPJ, mure zjarri, monitorim etj.,” shkroi Beaumont . Përkthimi: Një përdorues i administratorit të domenit ka privilegje të plota administrative për të gjitha pajisjet e lidhura me një rrjet, duke përfshirë kontrolluesin e domenit dhe drejtorinë aktive që ruan kredencialet dhe krijon llogari të reja. Si përdoruesit më të fuqishëm në një rrjet, ata duhet të rrethohen dhe rrallë, nëse ndonjëherë, të bëhen pjesë e një sistemi prodhimi. Lejimi i llogarive të tilla të mbeten të pambrojtura nga fjalëkalime të forta dhe masa të tjera standarde të sigurisë do ta përkeqësonte gabimin.
Zyrtarët e Microsoft-it refuzuan të shpjegonin në radhë të parë arsyet për konfigurimin e llogarisë testuese dhe pse u lejua të vazhdonte pasi të arrinte statusin e trashëguar.
Përditësimi i së enjtes dha dy detaje shtesë. E para ishte se Microsoft kishte zbuluar shkelje shtesë nga Midnight Blizzard duke goditur organizata të tjera dhe kishte njoftuar të prekurit. Hewlett Packard Enterprises tha në fillim të kësaj jave se rrjeti i saj ishte hakuar gjithashtu nga Midnight Blizzard. Kjo shkelje ndodhi në maj dhe nuk u zbulua ose u ndal deri në dhjetor.
Detaji i dytë: Spërkatja e fjalëkalimit të përdorur për të hyrë në llogarinë e testimit ishte e kufizuar në një numër të kufizuar llogarish me një numër të vogël përpjekjesh për të hyrë në secilën prej tyre. Midnight Blizzard zvogëloi më tej aktivitetin e tij keqdashës duke kryer këto sulme nga një infrastrukturë e shpërndarë rezidenciale proxy. Metoda ka qenë në përdorim për disa vite, duke përfshirë sulmin e zinxhirit të furnizimit SolarWinds 2020, i cili u krye gjithashtu nga Midnight Blizzard. Duke u lidhur me objektivat nga adresat IP me reputacion të mirë dhe që janë të vendosura në rajonet e pritshme, hakerët u bashkuan me përdoruesit e ligjshëm.
Midnight Blizzard është një nga disa emra të përdorur për të gjurmuar grupin e hakerëve, për të cilin qeveritë e SHBA dhe MB kanë thënë se punon në emër të Shërbimit të Inteligjencës së Jashtme të Rusisë, i njohur gjithashtu si SVR. Emra të tjerë të përdorur për të gjurmuar grupin përfshijnë APT29, Dukes, Cloaked Ursa, UNC2452 dhe Dark Halo.
“Si pjesë e përpjekjeve të tyre të shumta për të errësuar burimin e sulmit të tyre, Midnight Blizzard përdori rrjete proxy rezidenciale, duke e drejtuar trafikun e tyre përmes një numri të madh adresash IP që përdoren gjithashtu nga përdoruesit legjitimë, për të bashkëvepruar me qiramarrësin e komprometuar dhe, më pas, me Exchange Online”, shkruan zyrtarët e Microsoft. “Edhe pse nuk është një teknikë e re, përdorimi i Midnight Blizzard i proxies rezidenciale për të errësuar lidhjet i bën të pamundur treguesit tradicionalë të zbulimit të bazuar në kompromis (IOC) për shkak të shkallës së lartë të ndryshimit të adresave IP.”
Është e paqartë pse Microsoft po e pranon këtë mësim vetëm tani dhe jo si pasojë e fushatës SolarWinds tre vjet më parë.