SG.hu
Nagyon komoly betörés miatt magyarázkodik a Microsoft
Kínai államhoz köthető hackerek május óta titokban hozzáfértek mintegy 25 szervezet, köztük legalább két amerikai kormányzati ügynökség e-mail fiókjaihoz - közölte a Microsoft. A hackerek elloptak egy kriptográfiai kulcsot, amellyel meghamisíthatták a felhasználók személyazonosságát és átcsúszhattak a védelmi rendszereken.
A Microsoft közleményében azt írta, hogy a hackercsoport - amelyet Storm-0558-nak nevezett el - digitális hitelesítési tokeneket hamisított, hogy hozzáférjen a cég Outlook szolgáltatásán futó webmail-fiókokhoz. A tevékenység májusban kezdődött. "Mint minden megfigyelt nemzetállami szereplői tevékenység esetében, a Microsoft minden megcélzott vagy veszélyeztetett szervezettel közvetlenül a bérlő rendszergazdáin keresztül vette fel a kapcsolatot, és fontos információkkal látta el őket a vizsgálat és a válaszadás megkönnyítése érdekében" - tette hozzá a vállalat.
A Microsoft nem közölte, hogy mely szervezetek vagy kormányok voltak érintettek, de hozzátette, hogy az érintett hackercsoport elsősorban nyugat-európai szervezeteket vesz célba. Az amerikai külügyminisztérium és a kereskedelmi minisztérium azonban nyilatkozatban elismerte, hogy az érintettek között voltak. "Az Egyesült Államok "meglehetősen gyorsan" észlelte a szövetségi kormányzati fiókok megsértését, és sikerült megakadályozni a további betöréseket" - mondta Jake Sullivan, a Fehér Ház nemzetbiztonsági tanácsadója. Gina Raimondo kereskedelmi miniszter és a külügyminisztérium tisztviselőinek e-mail fiókjait is feltörték - jelentette a The Washington Post.
Kína londoni nagykövetsége "dezinformációnak" nevezte a vádat, az amerikai kormányt pedig "a világ legnagyobb hackerbirodalmának és globális kibertolvajának" nevezte. Kína rutinszerűen tagadja a hackerműveletekben való részvételt, függetlenül a rendelkezésre álló bizonyítékoktól vagy a kontextustól. A Fehér Ház Nemzetbiztonsági Tanácsának szóvivője, Adam Hodge azt mondta, hogy a Microsoft felhőbiztonsági rendszerébe történt behatolás "nem minősített rendszereket érintett", anélkül, hogy részletezte volna. "A tisztviselők azonnal kapcsolatba léptek a Microsofttal, hogy megtalálják a forrást és a felhőszolgáltatásukban lévő sebezhetőséget" - tette hozzá Hodge.
De hogyan adhatott a felhőszolgáltatás egy hibája mesterkulcsot a kínai kémek kezébe?
A legtöbb IT-szakember számára a felhőbe való átállás isteni áldás volt. Ahelyett, hogy saját maga védené az adatait, azt inkább a Google vagy a Microsoft biztonsági szakértőire bízhatta. De amikor egyetlen ellopott kulcs segítségével a hackerek több tucatnyi szervezet felhőadataihoz férhetnek hozzá, ez a kompromisszum kezd sokkal kockázatosabbnak tűnni. Kína évtizedek óta könyörtelenül törögeti a nyugati hálózatokat, de a legutóbbi támadás egy egyedülálló trükköt alkalmazott. A Microsoft szerint a hackerek elloptak egy kriptográfiai kulcsot, amellyel saját hitelesítési "tokeneket" - a felhasználó személyazonosságának igazolására szolgáló információsorokat - tudtak létrehozni, így szabad kezet kaptak több tucat Microsoft-ügyfélfiókban. "Az útlevelekben bízunk, és valaki ellopott egy útlevélnyomtató gépet" - mondja Jake Williams, az NSA egykori hackere, aki jelenleg a bostoni Institute for Applied Network Security tanára. "Egy olyan nagy cég esetében, mint a Microsoft, ennyi érintett ügyféllel - vagy akiket ez érinthetett volna - ez példátlan."
A webalapú felhőrendszerekben a felhasználók böngészője egy távoli szerverhez csatlakozik, és amikor megadják a hitelesítő adatokat - például a felhasználónevet és a jelszót - a szerverről egy token néven ismert adatot kapnak. A token egyfajta ideiglenes személyi igazolványként szolgál, amely lehetővé teszi a felhasználók számára, hogy a felhőkörnyezetben tetszésük szerint jöjjenek és távozzanak, és csak alkalmanként adják meg újra a hitelesítő adataikat. Annak érdekében, hogy a tokent ne lehessen meghamisítani, azt kriptográfiai úton aláírják egy egyedi adatsorral, az úgynevezett tanúsítvánnyal vagy kulccsal, amely a felhőszolgáltatás birtokában van, és egyfajta hamisíthatatlan hitelességi bélyegzőként szolgál.
A Microsoft az Outlook kínaiak általi feltörését ismertető blogbejegyzésében a hitelesítési rendszer egyfajta kétlépcsős lebontását közli. Először a hackerek valahogyan képesek voltak ellopni egy olyan kulcsot, amelyet a Microsoft a felhőszolgáltatások fogyasztói szintű felhasználóinak tokenjeinek aláírására használ. Másodszor, a hackerek kihasználtak egy hibát a Microsoft token-érvényesítési rendszerében, ami lehetővé tette számukra, hogy a fogyasztói szintű tokeneket az ellopott kulccsal írják alá, majd azokat a vállalati szintű rendszerekhez való hozzáférésre használják. Mindez annak ellenére történt, hogy a Microsoft megpróbálta ellenőrizni a különböző kulcsokból származó aláírásokat a különböző minőségű tokenek esetében.
A Microsoft azt mondja, hogy mostanra letiltotta az összes olyan tokent, amelyet az ellopott kulccsal írtak alá, és a kulcsot egy újjal cserélte le, így a hackerek nem férhetnek hozzá az áldozatok rendszereihez. A vállalat hozzáteszi, hogy a lopás óta a "kulcskezelő rendszereinek" biztonságának javításán is dolgozott. Azt azonban továbbra sem tudni, hogy pontosan hogyan lehetett ellopni egy ilyen érzékeny, széles körű hozzáférést lehetővé tevő kulcsot - a vállalat ezt nyilván nem kívánja megosztani a közönséggel.
Mivel a Microsoft nem közölt további részleteket, a lopás mikéntjére vonatkozó egyik elmélet szerint a token-azonosító kulcsot valójában nem is a Microsofttól lopták el - véli Tal Skverer, az Astrix biztonsági cég kutatásvezetője, aki az év elején a Google felhőjének tokenbiztonsági problémáját tárta fel. Az Outlook régebbi beállításaiban a szolgáltatást nem a Microsoft felhőjében, hanem az ügyfél tulajdonában lévő szerveren tárolják és kezelik. Ez lehetővé tehette a hackerek számára, hogy ellopják a kulcsot egy ügyfél hálózatán lévő egyik ilyen szerverről. Ezután - véli Skverer - a hackerek kihasználhatták azt a hibát, amely lehetővé tette a kulcs vállalati tokenek általi aláírását, hogy hozzáférjenek egy olyan Outlook felhőpéldányhoz, amelyet a támadás által érintett mind a 25 szervezet megosztott. "A legjobb tippem az, hogy egyetlen szerverről indultak, amely az egyik ilyen szervezethez tartozott" - mondja Skverer - "és ezzel az érvényesítési hibával visszaélve ugrottak át a felhőbe, majd több olyan szervezethez is hozzáférést szereztek, amelyek ugyanazt a felhős Outlook-példányt használják."
Ez az elmélet azonban nem ad magyarázatot arra, hogy egy vállalati hálózaton belül egy Microsoft-szolgáltatás helyhez kötött kiszolgálója miért használna olyan kulcsot, amelyet a Microsoft leírása szerint fogyasztói fiókok tokenjeinek aláírására szántak. Azt sem magyarázza meg, hogy miért osztozik ennyi szervezet - köztük amerikai kormányzati szervek - egy Outlook felhőpéldányon.
Egy másik, sokkal aggasztóbb elmélet szerint a hackerek által használt token aláíró kulcsot a Microsoft saját hálózatából lopták el. Úgy szerezték meg, hogy a vállalatot rászedték, hogy új kulcsot adjon ki a hackerek számára, vagy akár a kulcsot létrehozó kriptográfiai folyamat hibáinak kihasználásával reprodukálták. A Microsoft által leírt token-érvényesítési hibával együtt ez azt jelentheti, hogy a tokeneket bármelyik Outlook felhőfiók - fogyasztói vagy vállalati - tokenjének aláírására lehetett volna használni - ez a Microsoft felhőjének nagy részéhez, vagy akár az egész felhőhöz tartozó vázkulcs.
Robert "RSnake" Hansen, egy ismert webes biztonsági kutató szerint a Microsoft bejegyzésének a "kulcskezelő rendszerek" biztonságának javításáról szóló sora arra utal, hogy a kínai kémek valahogyan feltörték a Microsoft "tanúsítvány-hatóságát" - a tokenek kriptográfiai aláírásához szükséges kulcsok létrehozására szolgáló saját rendszerét. "Nagyon valószínű, hogy vagy a Microsoft tanúsítvány-hatóságának infrastruktúrájában vagy konfigurációjában volt olyan hiba, amely egy meglévő tanúsítvány kompromittálódásához vagy egy új tanúsítvány létrehozásához vezetett" - mondja Hansen.
Ha a hackerek valóban elloptak egy aláírási kulcsot, amelyet a fogyasztói fiókokban - és a Microsoft token-érvényesítési problémájának köszönhetően a vállalati fiókokban is - széles körben tokenek hamisítására lehetett használni, akkor az áldozatok száma jóval nagyobb lehet, mint a Microsoft által nyilvánosan bejelentett 25 szervezet, figyelmeztet Williams. A vállalati áldozatok azonosításához a Microsoft megnézhetné, hogy a tokenjeik közül melyiket írták alá fogyasztói kulcsokkal. De ezt a kulcsot használhatták fogyasztói szintű tokenek generálására is, amit sokkal nehezebb lehet kiszúrni, mivel a tokeneket a várt kulccsal írhatták alá. "A fogyasztói oldalon honnan tudnád?" kérdezi Williams. "A Microsoft nem beszélt erről, pedig szerintem sokkal nagyobb átláthatóságot kellene elvárnunk".
A Microsoft legutóbbi kínai kémkedési leleplezése nem az első eset, hogy az államilag támogatott hackerek tokeneket használnak fel a célpontokhoz történő behatolásához vagy a hozzáférésük terjesztéséhez. A Solar Winds elleni hírhedt ellátási lánc-támadást végrehajtó orosz hackerek szintén Microsoft Outlook tokeneket loptak el az áldozatok gépeiről, amelyeket a hálózaton belül máshol is felhasználhattak, hogy fenntartsák és kiterjesszék elérésüket az érzékeny rendszerekre. Az informatikai rendszergazdák számára ezek az incidensek - és különösen ez a legutóbbi - a felhőbe való áttérés néhány valós kompromisszumát jelzik.
A Microsoft és a kiberbiztonsági iparág nagy része évek óta ajánlja a felhőalapú rendszerekre való áttérést, hogy a biztonságot a kisebb vállalatok helyett a technológiai óriások kezébe adják. A központosított rendszereknek azonban megvannak a maguk sebezhető pontjai - potenciálisan hatalmas következményekkel.
A Microsoft közleményében azt írta, hogy a hackercsoport - amelyet Storm-0558-nak nevezett el - digitális hitelesítési tokeneket hamisított, hogy hozzáférjen a cég Outlook szolgáltatásán futó webmail-fiókokhoz. A tevékenység májusban kezdődött. "Mint minden megfigyelt nemzetállami szereplői tevékenység esetében, a Microsoft minden megcélzott vagy veszélyeztetett szervezettel közvetlenül a bérlő rendszergazdáin keresztül vette fel a kapcsolatot, és fontos információkkal látta el őket a vizsgálat és a válaszadás megkönnyítése érdekében" - tette hozzá a vállalat.
A Microsoft nem közölte, hogy mely szervezetek vagy kormányok voltak érintettek, de hozzátette, hogy az érintett hackercsoport elsősorban nyugat-európai szervezeteket vesz célba. Az amerikai külügyminisztérium és a kereskedelmi minisztérium azonban nyilatkozatban elismerte, hogy az érintettek között voltak. "Az Egyesült Államok "meglehetősen gyorsan" észlelte a szövetségi kormányzati fiókok megsértését, és sikerült megakadályozni a további betöréseket" - mondta Jake Sullivan, a Fehér Ház nemzetbiztonsági tanácsadója. Gina Raimondo kereskedelmi miniszter és a külügyminisztérium tisztviselőinek e-mail fiókjait is feltörték - jelentette a The Washington Post.
Kína londoni nagykövetsége "dezinformációnak" nevezte a vádat, az amerikai kormányt pedig "a világ legnagyobb hackerbirodalmának és globális kibertolvajának" nevezte. Kína rutinszerűen tagadja a hackerműveletekben való részvételt, függetlenül a rendelkezésre álló bizonyítékoktól vagy a kontextustól. A Fehér Ház Nemzetbiztonsági Tanácsának szóvivője, Adam Hodge azt mondta, hogy a Microsoft felhőbiztonsági rendszerébe történt behatolás "nem minősített rendszereket érintett", anélkül, hogy részletezte volna. "A tisztviselők azonnal kapcsolatba léptek a Microsofttal, hogy megtalálják a forrást és a felhőszolgáltatásukban lévő sebezhetőséget" - tette hozzá Hodge.
De hogyan adhatott a felhőszolgáltatás egy hibája mesterkulcsot a kínai kémek kezébe?
A legtöbb IT-szakember számára a felhőbe való átállás isteni áldás volt. Ahelyett, hogy saját maga védené az adatait, azt inkább a Google vagy a Microsoft biztonsági szakértőire bízhatta. De amikor egyetlen ellopott kulcs segítségével a hackerek több tucatnyi szervezet felhőadataihoz férhetnek hozzá, ez a kompromisszum kezd sokkal kockázatosabbnak tűnni. Kína évtizedek óta könyörtelenül törögeti a nyugati hálózatokat, de a legutóbbi támadás egy egyedülálló trükköt alkalmazott. A Microsoft szerint a hackerek elloptak egy kriptográfiai kulcsot, amellyel saját hitelesítési "tokeneket" - a felhasználó személyazonosságának igazolására szolgáló információsorokat - tudtak létrehozni, így szabad kezet kaptak több tucat Microsoft-ügyfélfiókban. "Az útlevelekben bízunk, és valaki ellopott egy útlevélnyomtató gépet" - mondja Jake Williams, az NSA egykori hackere, aki jelenleg a bostoni Institute for Applied Network Security tanára. "Egy olyan nagy cég esetében, mint a Microsoft, ennyi érintett ügyféllel - vagy akiket ez érinthetett volna - ez példátlan."
A webalapú felhőrendszerekben a felhasználók böngészője egy távoli szerverhez csatlakozik, és amikor megadják a hitelesítő adatokat - például a felhasználónevet és a jelszót - a szerverről egy token néven ismert adatot kapnak. A token egyfajta ideiglenes személyi igazolványként szolgál, amely lehetővé teszi a felhasználók számára, hogy a felhőkörnyezetben tetszésük szerint jöjjenek és távozzanak, és csak alkalmanként adják meg újra a hitelesítő adataikat. Annak érdekében, hogy a tokent ne lehessen meghamisítani, azt kriptográfiai úton aláírják egy egyedi adatsorral, az úgynevezett tanúsítvánnyal vagy kulccsal, amely a felhőszolgáltatás birtokában van, és egyfajta hamisíthatatlan hitelességi bélyegzőként szolgál.
A Microsoft az Outlook kínaiak általi feltörését ismertető blogbejegyzésében a hitelesítési rendszer egyfajta kétlépcsős lebontását közli. Először a hackerek valahogyan képesek voltak ellopni egy olyan kulcsot, amelyet a Microsoft a felhőszolgáltatások fogyasztói szintű felhasználóinak tokenjeinek aláírására használ. Másodszor, a hackerek kihasználtak egy hibát a Microsoft token-érvényesítési rendszerében, ami lehetővé tette számukra, hogy a fogyasztói szintű tokeneket az ellopott kulccsal írják alá, majd azokat a vállalati szintű rendszerekhez való hozzáférésre használják. Mindez annak ellenére történt, hogy a Microsoft megpróbálta ellenőrizni a különböző kulcsokból származó aláírásokat a különböző minőségű tokenek esetében.
A Microsoft azt mondja, hogy mostanra letiltotta az összes olyan tokent, amelyet az ellopott kulccsal írtak alá, és a kulcsot egy újjal cserélte le, így a hackerek nem férhetnek hozzá az áldozatok rendszereihez. A vállalat hozzáteszi, hogy a lopás óta a "kulcskezelő rendszereinek" biztonságának javításán is dolgozott. Azt azonban továbbra sem tudni, hogy pontosan hogyan lehetett ellopni egy ilyen érzékeny, széles körű hozzáférést lehetővé tevő kulcsot - a vállalat ezt nyilván nem kívánja megosztani a közönséggel.
Mivel a Microsoft nem közölt további részleteket, a lopás mikéntjére vonatkozó egyik elmélet szerint a token-azonosító kulcsot valójában nem is a Microsofttól lopták el - véli Tal Skverer, az Astrix biztonsági cég kutatásvezetője, aki az év elején a Google felhőjének tokenbiztonsági problémáját tárta fel. Az Outlook régebbi beállításaiban a szolgáltatást nem a Microsoft felhőjében, hanem az ügyfél tulajdonában lévő szerveren tárolják és kezelik. Ez lehetővé tehette a hackerek számára, hogy ellopják a kulcsot egy ügyfél hálózatán lévő egyik ilyen szerverről. Ezután - véli Skverer - a hackerek kihasználhatták azt a hibát, amely lehetővé tette a kulcs vállalati tokenek általi aláírását, hogy hozzáférjenek egy olyan Outlook felhőpéldányhoz, amelyet a támadás által érintett mind a 25 szervezet megosztott. "A legjobb tippem az, hogy egyetlen szerverről indultak, amely az egyik ilyen szervezethez tartozott" - mondja Skverer - "és ezzel az érvényesítési hibával visszaélve ugrottak át a felhőbe, majd több olyan szervezethez is hozzáférést szereztek, amelyek ugyanazt a felhős Outlook-példányt használják."
Ez az elmélet azonban nem ad magyarázatot arra, hogy egy vállalati hálózaton belül egy Microsoft-szolgáltatás helyhez kötött kiszolgálója miért használna olyan kulcsot, amelyet a Microsoft leírása szerint fogyasztói fiókok tokenjeinek aláírására szántak. Azt sem magyarázza meg, hogy miért osztozik ennyi szervezet - köztük amerikai kormányzati szervek - egy Outlook felhőpéldányon.
Egy másik, sokkal aggasztóbb elmélet szerint a hackerek által használt token aláíró kulcsot a Microsoft saját hálózatából lopták el. Úgy szerezték meg, hogy a vállalatot rászedték, hogy új kulcsot adjon ki a hackerek számára, vagy akár a kulcsot létrehozó kriptográfiai folyamat hibáinak kihasználásával reprodukálták. A Microsoft által leírt token-érvényesítési hibával együtt ez azt jelentheti, hogy a tokeneket bármelyik Outlook felhőfiók - fogyasztói vagy vállalati - tokenjének aláírására lehetett volna használni - ez a Microsoft felhőjének nagy részéhez, vagy akár az egész felhőhöz tartozó vázkulcs.
Robert "RSnake" Hansen, egy ismert webes biztonsági kutató szerint a Microsoft bejegyzésének a "kulcskezelő rendszerek" biztonságának javításáról szóló sora arra utal, hogy a kínai kémek valahogyan feltörték a Microsoft "tanúsítvány-hatóságát" - a tokenek kriptográfiai aláírásához szükséges kulcsok létrehozására szolgáló saját rendszerét. "Nagyon valószínű, hogy vagy a Microsoft tanúsítvány-hatóságának infrastruktúrájában vagy konfigurációjában volt olyan hiba, amely egy meglévő tanúsítvány kompromittálódásához vagy egy új tanúsítvány létrehozásához vezetett" - mondja Hansen.
Ha a hackerek valóban elloptak egy aláírási kulcsot, amelyet a fogyasztói fiókokban - és a Microsoft token-érvényesítési problémájának köszönhetően a vállalati fiókokban is - széles körben tokenek hamisítására lehetett használni, akkor az áldozatok száma jóval nagyobb lehet, mint a Microsoft által nyilvánosan bejelentett 25 szervezet, figyelmeztet Williams. A vállalati áldozatok azonosításához a Microsoft megnézhetné, hogy a tokenjeik közül melyiket írták alá fogyasztói kulcsokkal. De ezt a kulcsot használhatták fogyasztói szintű tokenek generálására is, amit sokkal nehezebb lehet kiszúrni, mivel a tokeneket a várt kulccsal írhatták alá. "A fogyasztói oldalon honnan tudnád?" kérdezi Williams. "A Microsoft nem beszélt erről, pedig szerintem sokkal nagyobb átláthatóságot kellene elvárnunk".
A Microsoft legutóbbi kínai kémkedési leleplezése nem az első eset, hogy az államilag támogatott hackerek tokeneket használnak fel a célpontokhoz történő behatolásához vagy a hozzáférésük terjesztéséhez. A Solar Winds elleni hírhedt ellátási lánc-támadást végrehajtó orosz hackerek szintén Microsoft Outlook tokeneket loptak el az áldozatok gépeiről, amelyeket a hálózaton belül máshol is felhasználhattak, hogy fenntartsák és kiterjesszék elérésüket az érzékeny rendszerekre. Az informatikai rendszergazdák számára ezek az incidensek - és különösen ez a legutóbbi - a felhőbe való áttérés néhány valós kompromisszumát jelzik.
A Microsoft és a kiberbiztonsági iparág nagy része évek óta ajánlja a felhőalapú rendszerekre való áttérést, hogy a biztonságot a kisebb vállalatok helyett a technológiai óriások kezébe adják. A központosított rendszereknek azonban megvannak a maguk sebezhető pontjai - potenciálisan hatalmas következményekkel.