Microsoft, çeşitli ABD devlet kurumlarının Exchange Online e-posta hizmetlerine yetkisiz erişime ilişkin bir soruşturma başlattı. Uzmanlar, güvenlik açıkları, çalınan anahtarlar ve bir Azure AD imzalama anahtarı sayesinde saldırının başarılı olduğunu tespit etti. Ancak bilgisayar korsanlarının anahtarları nereden aldığı muhtemelen hala bir muamma.
ABD devlet kurumları da dahil olmak üzere iki düzine kuruluş yakın zamanda saldırıya uğradı. Çinli bilgisayar korsanları, etkin olmayan bir Microsoft hesabı (MSA) için bir tüketici imzalama anahtarı çaldı. Olay, birkaç devlet kurumunun Exchange Online e-posta hizmetlerine yetkisiz erişimi keşfettikten sonra ABD hükümet yetkilileri tarafından bildirildi.
Çinli profesyonel bilgisayar korsanlarının eylemi
Microsoft, saldırıları 16 Haziran'da araştırmaya başladı ve Storm-0558 olarak tanıdığı Çinli bir siber casusluk grubunun, saldırıya uğrayan yaklaşık 25 kuruluşun (bildirildiğine göre ABD Dışişleri Bakanlığı ve ABD Ticaret Bakanlığı dahil) e-posta hesaplarını çaldığını tespit etti. Saldırganlar, bir GetAccessTokenForResource API güvenlik açığından yararlanarak yeni kimlik doğrulama belirteçleri oluşturmak için çalınan Azure AD kurumsal imzalama anahtarını kullandı ve onlara hedeflerin kurumsal e-postasına erişim sağladı. Microsoft, bugün yayınlanan yeni bir danışma belgesinde "Aktörün anahtarı elde etme yöntemi devam eden soruşturmanın konusu" dedi.
Storm-0558, e-postaları ve ekleri çalmak üzere REST API çağrıları aracılığıyla OWA Exchange Store hizmeti için yeni erişim belirteçleri oluşturmak üzere PowerShell ve Python betiklerini kullanabilir. Ancak Microsoft, bu yaklaşımın geçen ay Exchange Online'da gerçekleştirilen veri hırsızlığı saldırılarında kullanılıp kullanılmadığını doğrulamadı. Microsoft bugün "Telemetri verilerimiz ve araştırmamız, uzlaşma sonrası etkinliğin hedeflenen kullanıcılar için e-posta erişimi ve hırsızlığı ile sınırlı olduğunu gösteriyor" dedi.
Şüpheli anahtarlar ve belirteçler engellendi
Şirket, çalınan özel imzalama anahtarının etkilenen tüm müşteriler için kullanılmasını 3 Temmuz'da engelledi ve saldırganların belirteç yeniden yürütme altyapısının bir gün sonra kapatıldığını belirtti. Ayrıca, 27 Haziran'da Microsoft tüm geçerli MSA imzalama anahtarlarını iptal etti. Microsoft, "Microsoft, oyuncu tarafından satın alınan MSA imzalama anahtarını geçersiz kıldığı için anahtarla ilgili hiçbir etkinlik gözlemlenmedi" dedi.
Microsoft, saldırının tüm sürecini ve teknik ayrıntıları bir güvenlik danışma belgesinde inceledi.
Microsoft.com'da daha fazlası
Microsoft Almanya Hakkında Microsoft Deutschland GmbH, 1983 yılında Microsoft Corporation'ın (Redmond, ABD) Almanya'daki yan kuruluşu olarak kuruldu. Microsoft, gezegendeki her kişiyi ve her kuruluşu daha fazlasını başarması için güçlendirmeye kararlıdır. Bu zorluğun üstesinden ancak birlikte gelinebilir, bu nedenle çeşitlilik ve kapsayıcılık en başından beri kurum kültürüne sıkı sıkıya bağlıdır. Akıllı bulut ve akıllı uç çağında üretken yazılım çözümleri ve modern hizmetlerin dünyanın önde gelen üreticisi ve yenilikçi donanım geliştiricisi olarak Microsoft, dijital dönüşümden yararlanmalarına yardımcı olmak için müşterilerini bir ortak olarak görüyor. Çözüm geliştirirken güvenlik ve gizlilik en önemli önceliklerdir. Dünyanın en büyük katkı sağlayıcısı olan Microsoft, önde gelen geliştirici platformu GitHub aracılığıyla açık kaynak teknolojisini kullanıyor. En büyük kariyer ağı olan LinkedIn ile Microsoft, dünya çapında profesyonel ağ oluşturmayı destekler.