hadicanim
Aktif Üye
Microsoft’un çalınan anahtarı beklenenden daha güçlü
Güvenlik şirketi Wiz’e göre, Çinli saldırganların devlet kurumlarından gelen e-postaları gözetlemek için kullandıkları iddia edilen çalıntı Microsoft anahtarını belirlemeyi başardı. Sonuç olarak, bu saldırganlar Sharepoint veya Teams gibi neredeyse tüm Microsoft bulut uygulamalarına erişim elde etmiş olabilir. Bu nedenle, “Microsoft ile Oturum Aç” özelliğine sahip buluttaki müşteri uygulamaları bile büyük ölçüde açık olabilirdi. Bu fırsatları gerçekten kullanıp kullanmadıkları bilinmiyor çünkü Microsoft anlamsız inkarların arkasına saklanıyor.
Reklamcılık
Bulut fiyaskosu
Haziran ortasında bir ABD yetkilisi, bulut devi Microsoft’un dikkatini çevrimiçi takas hesaplarındaki garip işlemlere çekti. Microsoft’un ürün olarak ayrıca sunduğu günlük verilerinde e-postalarına şüpheli erişim kaydettiler. Daha sonraki analizler, Microsoft’un ifşa etmeye isteksiz ve parça parça ifşa ettiği çok büyük oranlarda bir fiyaskoyu ortaya çıkardı. Microsoft’un Storm-0558 olarak adlandırdığı şüpheli Çinli saldırganlar, öncelikle Avrupa devlet kurumları için Microsoft tarafından barındırılan Exchange Online’a erişim elde etti.
Saldırganlar bunu yapmak için Microsoft’tan, Outlook Web Access (OWA) ve Outlook.com için çalışan erişim belirteçleri vermek ve ardından diğer şeylerin yanı sıra e-postaları ve eklerini indirmek için komut dosyalarını kullanmak üzere kullanabilecekleri bir imza anahtarı çalmışlardı. Aradan bir ay geçmesine rağmen Microsoft, bu hırsızlığın nasıl başarılı olduğunu hâlâ açıklayamıyor veya açıklamak istemiyor. Şirket ayrıca, imza anahtarıyla verilen belirteçlerin hiç çalışmadığını da yeterince açıklamıyor: Geçerlilik kontrolüyle ilgili bir sorun (“doğrulama sorunu”), aslında yalnızca özel müşteri hesapları (MSA) için tasarlanan dijital imzanın, iş müşterileri için Azure Active Directory’de de çalıştığı anlamına geliyordu. Diğer bir karmaşıklık ise, Microsoft’un bu güvenlik ve gizlilik felaketinden etkilenen ürünleri açıkça adlandırmaktan kasıtlı olarak kaçınmasıdır. (Bu konuda daha fazla bilgi için: Microsoft Çevrimiçi Değişim Fiyaskosuna Yanıt Veriyor: Herkes İçin Daha Fazla Günlük)
Bu OpenID İmzalama Anahtarı Microsoft’tan çalındı. Çok geniş kapsamlı hakları vardı – kimse nedenini bilmiyor.
(Resim: Wiz Araştırması)
Microsoft’un bulut krallığının ana anahtarı
Bulut güvenliği konusunda uzman olan Wiz şirketi tarafından yapılan bir analiz, her şeyin çok daha kötü olduğunu iddia ederek zaten belirsiz olan bu durumu ortaya çıkarıyor. Araştırmacılar çalınan anahtarı aramaya gittiler ve kendi ifadelerine göre aslında Microsoft tarafından yayınlanan parmak izini kullanarak anahtarı teşhis ettiler. Daha sonra, halka açık olan ve örneğin İnternet Arşivinde belgelenen geçerli imza anahtarlarının listelerini incelediler ve çalınan anahtarın yalnızca Microsoft’un Exchange Online’da değil, Microsoft’un bulutunun hemen hemen her yerinde kapandığını gördüler.
Saldırganlar, etkilenen tüm bulut uygulamalarının kullanıcı hesaplarına erişmek için çalınan anahtarı kullanabilir.
(Resim: Wiz Araştırması)
Çalınan anahtar, Azure Active Directory (Azure AD veya AAD) için bir OpenID İmzalama Anahtarıdır. Bu, bilinen bulut kullanıcılarının bir tür telefon defteri olan Microsoft’un bulut dizin hizmetidir. Ve Wiz’e göre, bu imzalama anahtarı, neredeyse tüm Microsoft bulut hizmetlerinde kullanıcı hesapları için erişim belirteçleri oluşturmak için kullanılabilir. Yani sadece Outlook değil, Office, Sharepoint ve Teams de. Ama daha da kötüye gidiyor:
Reklamcılık
“Kişisel hesaplar ve karma izleyici (çok kiracılı veya kişisel hesap) AAD uygulamaları için herhangi bir OpenID v2.0 erişim belirtecini imzalamak için güvenliği ihlal edilmiş anahtara güvenildi.”
Diğer bir deyişle, fırtına askerleri, örneğin diğer AAD örneklerine de güvenip “Microsoft ile Oturum Açma” özelliğini etkinleştirmişlerse, şirketlerin kendileri ve bulut uygulamaları tarafından işletilen Azure AD örneklerine kolayca girebilirdi. Bu, Microsoft’un olmak isteyeceği büyük bir kimlik sağlayıcı için en kötü durum senaryosu olacaktır.
Microsoft artık güvenliği ihlal edilmiş anahtarı engelledi, bu nedenle onunla daha fazla erişim mümkün olmamalıdır. Ancak, etkilenen hesaplara – yani pratik olarak neredeyse tüm Microsoft bulutuna – arka kapılar sağlamak için erişimi önceden kullanmak kesinlikle mümkün olabilirdi. Aslında, yetkisiz faaliyetler için artık her bir AAD ve Microsoft hesabı kontrol edilmelidir. Ama bunu nasıl yapıyorsun?
ölçüde belirsiz
Şimdiye kadar, Storm-0558’in – veya başka bir saldırı gücünün – Microsoft’un bugüne kadar kabul ettiğinin ötesinde bu ahır kapısını gerçekten kullandığına dair bir kanıt yok. Ancak bunun nedeni, Microsoft’un şu ana kadar sağladığı çok seyrek bilgiler ve bulut hizmetlerini güvenlik sorunları açısından denetlemek için yapay olarak kısıtlanmış seçenekler olabilir. Microsoft daha önce günlük verilerine bu erişim için fazladan ücret aldı; Microsoft, yalnızca bu güvenlik fiyaskosu öğrenildikten sonra yumuşadı ve gelecekte ek maliyet olmaksızın bu günlük verilerine erişimi serbest bırakmayı planlıyor.
Genel olarak, bulut tekeli Microsoft, baskı altında yalnızca tam olarak gerektiği kadar bilgi açığa çıkarır. Bir şirket sözcüsü, Wiz’in yayınlanmasına yalnızca her şeyi “büyük ölçüde spekülatif ve gerçeklere dayalı değil” diyerek reddeden bir açıklamayla yanıt verdi. Ancak aynı zamanda kendileri de ifadeleri doğrulayabilecek veya çürütebilecek herhangi bir gerçek sunmadılar.
değerlendirme
Benim bakış açımdan: Microsoft, hizmetleri dünya çapında şirketler, kuruluşlar, yetkililer ve özel kişiler tarafından kullanılan üç büyük bulut sağlayıcısından biridir. Bu bulut teklifleri, Microsoft’un hataları ve eksiklikleri nedeniyle tamamen açık olabilir. Microsoft’un kendisi yalnızca en gerekli bilgileri verir ve sonuç olarak kimse gerçekte neler olup bittiğini ve kimin veya neyin etkilendiğini tam olarak bilemez. Microsoft’tan daha fazla şeffaflık, bu olayla ilgili tüm bilgilerin ifşası ve hepsinden önemlisi, olası yetkisiz erişimi kontrol etme konusunda özel yardım talep etmek artık müşteriye kalmıştır. Ve Microsoft teslim etmezse, diğer seçenekleri tartışmanın tam zamanı.
(Evet)
Haberin Sonu