Kết quả điều tra kỹ thuật về việc thu thập khóa cho Storm-0558

 (msrc.microsoft.com)
1 điểm bởi GN⁺ 2023-09-07 | 1 bình luận | Chia sẻ qua WhatsApp
  • Bài viết thảo luận về kết quả điều tra kỹ thuật của Microsoft về cách tác nhân đe dọa có trụ sở tại Trung Quốc Storm-0558 đã thu thập khóa người dùng Microsoft Account (MSA), giả mạo token và truy cập OWA cùng Outlook.com.
  • Microsoft duy trì một môi trường sản xuất được cô lập và bảo mật cao để kiểm soát quyền truy cập của nhân viên, bao gồm kiểm tra lý lịch, tài khoản chuyên dụng, máy trạm truy cập an toàn và xác thực đa yếu tố bằng thiết bị token phần cứng.
  • Vào tháng 4 năm 2021, đã xảy ra sự cố sập hệ thống khiến một ảnh chụp nhanh của quy trình sự cố được tạo ra, và do điều kiện tranh chấp, ảnh chụp này đã chứa khóa ký. Vấn đề này sau đó đã được khắc phục.
  • Các crash dump vốn được cho là không chứa dữ liệu khóa đã được chuyển từ mạng sản xuất cô lập sang môi trường gỡ lỗi trên mạng doanh nghiệp có kết nối Internet theo quy trình gỡ lỗi tiêu chuẩn.
  • Tác nhân Storm-0558 đã có thể chiếm đoạt tài khoản doanh nghiệp của một kỹ sư Microsoft có quyền truy cập vào môi trường gỡ lỗi nơi có crash dump chứa khóa.
  • Khóa người dùng cá nhân có thể truy cập thư doanh nghiệp do điểm cuối phát hành siêu dữ liệu khóa chung được giới thiệu vào tháng 9 năm 2018. Mục đích là để hỗ trợ các ứng dụng làm việc với cả ứng dụng người dùng cá nhân và doanh nghiệp.
  • Các nhà phát triển của hệ thống thư đã nhầm tưởng rằng thư viện sẽ thực hiện xác thực đầy đủ và không bổ sung bước xác thực issuer/scope cần thiết, vì vậy hệ thống thư đã chấp nhận các yêu cầu email doanh nghiệp sử dụng token bảo mật được ký bằng khóa người dùng cá nhân. Vấn đề này đã được sửa.
  • Microsoft đang liên tục củng cố hệ thống như một phần của chiến lược phòng thủ theo chiều sâu. Các cải tiến chuyên biệt từ những phát hiện này bao gồm xử lý điều kiện tranh chấp từng cho phép khóa ký xuất hiện trong crash dump, tăng cường phòng ngừa, phát hiện và phản ứng đối với dữ liệu khóa bị đưa nhầm vào crash dump, tăng cường quét thông tin xác thực để phát hiện tốt hơn sự hiện diện của khóa ký trong môi trường gỡ lỗi, và phát hành thư viện được tăng cường để tự động hóa việc xác thực phạm vi khóa trong thư viện xác thực.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-09-07
Ý kiến Hacker News
  • Bài viết nói về một thất bại nghiêm trọng trong vụ đánh cắp khóa Storm-0558
  • Sự cố bắt nguồn từ một kết quả không lường trước do điều kiện tranh chấp hiếm gặp gây ra
  • Khóa bị xâm phạm đã cũ và lẽ ra chỉ nên cấp quyền truy cập vào tài khoản email người dùng cá nhân, nhưng do lỗi nên cả tài khoản email doanh nghiệp cũng được phép
  • Bài viết gợi ý rằng kẻ tấn công có hiểu biết sâu về hạ tầng nội bộ của Microsoft
  • Có lo ngại về dòng thời gian của vụ xâm phạm, với nghi vấn thông tin xác thực đã bị xâm phạm hơn 2 năm trước khi bị phát hiện và công bố
  • Số lượng token giả mạo và phạm vi dữ liệu bị truy cập không được công bố, làm dấy lên câu hỏi về mức độ nghiêm trọng của vụ xâm phạm
  • Bài viết nhấn mạnh sự cần thiết của việc xoay vòng khóa thường xuyên để ngăn chặn các vụ xâm phạm như vậy
  • Việc khóa không được lưu trong phần cứng không thể trích xuất và có thể được dùng trong tiến trình máy chủ thông thường cho thấy một lỗ hổng bảo mật tiềm ẩn
  • Có ý kiến chỉ trích việc không sử dụng mô-đun bảo mật phần cứng (HSM) để ngăn rò rỉ dữ liệu khóa
  • Bài viết chỉ ra rằng trong phần xác thực token truy cập của Microsoft không có đề cập đến việc kiểm tra ngày phát hành của issuer hoặc việc thu hồi
  • Chưa rõ liệu xác thực hai yếu tố hay các phương thức xác thực bổ sung khác có bị vượt qua trong vụ xâm phạm hay không
  • Bài viết kết thúc bằng câu hỏi liệu có bản dump nào đã biết mà email đã bị trích xuất trong cuộc tấn công hay không