Łańcuch niepowodzeń Rube Goldberga doprowadził do naruszenia rządowych wiadomości e-mail hostowanych przez firmę Microsoft


W pierwszej połowie lipca Microsoft ujawnione że chińska grupa hakerska Storm-0558 uzyskała dostęp do e-maili od około 25 organizacji, w tym agencji rządu USA. Dziś firma jest wyjaśniając jak Stało się to dzięki serii błędów wewnętrznych, co wyraźnie podkreśliło, jak poważna jest odpowiedzialność za utrzymanie ogromnej, rosnącej infrastruktury oprogramowania w coraz bardziej niepewnym cyfrowo świecie.

Według podsumowania dochodzenia Microsoftu Storm-0558 był w stanie uzyskać dostęp do firmowych i rządowych wiadomości e-mail, uzyskując „klucz konsumencki do konta Microsoft”, który umożliwiał mu tworzenie tokenów dostępu do kont celów.

Storm-0558 zdobył klucz po serii zdarzeń przypominających maszynę Rube’a Goldberga, która umieściła klucz w miejscu, w którym nigdy nie powinien się znajdować. Firma pisze, że kiedy system utworzył migawkę debugowania procesu, który uległ awarii, nie usunął tak zwanego „zrzutu awaryjnego” wszystkich poufnych informacji, tak jak powinien, pozostawiając klucz.

Systemy Microsoftu nadal powinny były wykryć „kluczowy materiał” w zrzucie awaryjnym, ale najwyraźniej tego nie zrobiły. Kiedy więc inżynierowie firmy znaleźli zrzut, założyli, że nie zawiera on wrażliwych danych i przenieśli je wraz z kluczami z „izolowanej sieci produkcyjnej” do firmowego środowiska debugowania.

Następnie inne zabezpieczenie — skanowanie danych uwierzytelniających, które powinno również wykryć klucz — nie wykazało, że klucz tam był. Ostatnia brama upadła, gdy Storm-0558 zdołał włamać się na firmowe konto inżyniera Microsoftu, dając hakerom dostęp do środowiska debugowania, do którego nigdy nie powinien był mieć klucza.

Microsoft pisze, że nie ma logów wskazujących, w jaki sposób klucz został wytasowany z jego systemów, ale twierdzi, że jest to „najbardziej prawdopodobne” drogą, którą obrali hakerzy.

Reklama

Jest jeszcze jeden ostatni kopacz: to był konsument klucz, ale pozwalał cyberprzestępcom przedostać się do firmowych kont Microsoft. Microsoft twierdzi, że zaczął publikować wspólne kluczowe metadane w 2018 r. w odpowiedzi na zapotrzebowanie na oprogramowanie pomocnicze, które działało zarówno na kontach konsumenckich, jak i korporacyjnych.

Firma dodała tę obsługę, ale nie dokonała odpowiednich aktualizacji systemów używanych do uwierzytelniania kluczy, czyli ustalenia, czy są to klucze konsumenckie czy korporacyjne. Inżynierowie systemu pocztowego, zakładając, że aktualizacje zostały dokonane, nie wbudowali żadnego dodatkowego uwierzytelniania, pozostawiając system pocztowy ślepy na rodzaj użytego klucza.

Krótko mówiąc, czy te biblioteki zostały odpowiednio zaktualizowane, nawet biorąc pod uwagę wszystkie inne punkty awariihakerzy Storm-0558 mogli nie uzyskać dostępu do firmowych kont e-mail używanych przez korporacje, na które byli celem.

Microsoft twierdzi, że naprawił wszystkie powyższe problemy, w tym błąd, który w pierwszej kolejności wysłał klucz podpisu do zrzutu awaryjnego. Firma dodaje w swoim poście, że „nieustannie ulepsza systemy”. Microsoft jest coraz częściej krytykowany za swoje praktyki bezpieczeństwa, które zarówno senator Ron Wyden (D-OR), jak i dyrektor generalny Tenable Amit Yoran nazwali „zaniedbaniem”, w przypadku Yorana zarzucając Microsoftowi, że jest zbyt powolny reagować na luki w zabezpieczeniach.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Dyrektor generalny Sonos przeprasza za nową aplikację i podaje harmonogram jej naprawy

Sonos wprowadził na rynek zupełnie nową wersję swojego aplikacja w maju to było szybko spotkało się z negatywną reakcjąFirma słuchała opinii i wprowadzanie...

W tym izolowanym kubku podróżnym ukryty jest blender

Nowy Flip marki Nutribullet zawiera blender w izolowanym kubku ze stali nierdzewnej, który nie wygląda na większy od typowego kubka podróżnego. Jeśli rano...

Blizzard twierdzi, że Overwatch 2 może powrócić do trybu 6 na 6, ale nie byłoby to łatwe

Jedną z największych zmian, jakie wprowadziła firma Blizzard, Ostrzeżenia 2 do tej pory było zmiana rozmiaru drużyny w grze z...
Advertisment