W pierwszej połowie lipca Microsoft ujawnione że chińska grupa hakerska Storm-0558 uzyskała dostęp do e-maili od około 25 organizacji, w tym agencji rządu USA. Dziś firma jest wyjaśniając jak Stało się to dzięki serii błędów wewnętrznych, co wyraźnie podkreśliło, jak poważna jest odpowiedzialność za utrzymanie ogromnej, rosnącej infrastruktury oprogramowania w coraz bardziej niepewnym cyfrowo świecie.
Według podsumowania dochodzenia Microsoftu Storm-0558 był w stanie uzyskać dostęp do firmowych i rządowych wiadomości e-mail, uzyskując „klucz konsumencki do konta Microsoft”, który umożliwiał mu tworzenie tokenów dostępu do kont celów.
Storm-0558 zdobył klucz po serii zdarzeń przypominających maszynę Rube’a Goldberga, która umieściła klucz w miejscu, w którym nigdy nie powinien się znajdować. Firma pisze, że kiedy system utworzył migawkę debugowania procesu, który uległ awarii, nie usunął tak zwanego „zrzutu awaryjnego” wszystkich poufnych informacji, tak jak powinien, pozostawiając klucz.
Systemy Microsoftu nadal powinny były wykryć „kluczowy materiał” w zrzucie awaryjnym, ale najwyraźniej tego nie zrobiły. Kiedy więc inżynierowie firmy znaleźli zrzut, założyli, że nie zawiera on wrażliwych danych i przenieśli je wraz z kluczami z „izolowanej sieci produkcyjnej” do firmowego środowiska debugowania.
Następnie inne zabezpieczenie — skanowanie danych uwierzytelniających, które powinno również wykryć klucz — nie wykazało, że klucz tam był. Ostatnia brama upadła, gdy Storm-0558 zdołał włamać się na firmowe konto inżyniera Microsoftu, dając hakerom dostęp do środowiska debugowania, do którego nigdy nie powinien był mieć klucza.
Microsoft pisze, że nie ma logów wskazujących, w jaki sposób klucz został wytasowany z jego systemów, ale twierdzi, że jest to „najbardziej prawdopodobne” drogą, którą obrali hakerzy.
Jest jeszcze jeden ostatni kopacz: to był konsument klucz, ale pozwalał cyberprzestępcom przedostać się do firmowych kont Microsoft. Microsoft twierdzi, że zaczął publikować wspólne kluczowe metadane w 2018 r. w odpowiedzi na zapotrzebowanie na oprogramowanie pomocnicze, które działało zarówno na kontach konsumenckich, jak i korporacyjnych.
Firma dodała tę obsługę, ale nie dokonała odpowiednich aktualizacji systemów używanych do uwierzytelniania kluczy, czyli ustalenia, czy są to klucze konsumenckie czy korporacyjne. Inżynierowie systemu pocztowego, zakładając, że aktualizacje zostały dokonane, nie wbudowali żadnego dodatkowego uwierzytelniania, pozostawiając system pocztowy ślepy na rodzaj użytego klucza.
Krótko mówiąc, czy te biblioteki zostały odpowiednio zaktualizowane, nawet biorąc pod uwagę wszystkie inne punkty awariihakerzy Storm-0558 mogli nie uzyskać dostępu do firmowych kont e-mail używanych przez korporacje, na które byli celem.
Microsoft twierdzi, że naprawił wszystkie powyższe problemy, w tym błąd, który w pierwszej kolejności wysłał klucz podpisu do zrzutu awaryjnego. Firma dodaje w swoim poście, że „nieustannie ulepsza systemy”. Microsoft jest coraz częściej krytykowany za swoje praktyki bezpieczeństwa, które zarówno senator Ron Wyden (D-OR), jak i dyrektor generalny Tenable Amit Yoran nazwali „zaniedbaniem”, w przypadku Yorana zarzucając Microsoftowi, że jest zbyt powolny reagować na luki w zabezpieczeniach.
