Как ошибка в облаке дала китайским шпионам ключ к королевству Microsoft

Feb 10, 2024

Энди Гринберг

Для большинства ИТ-специалистов переход в облако стал настоящей находкой. Вместо того, чтобы защищать ваши данные самостоятельно, позвольте их защитить экспертам по безопасности из Google или Microsoft. Но когда единственный украденный ключ может позволить хакерам получить доступ к облачным данным десятков организаций, такой компромисс начинает казаться гораздо более рискованным.

Поздно вечером во вторник Microsoft сообщила, что именно это сделала китайская хакерская группа под названием Storm-0558. Группа, занимающаяся шпионажем против правительств стран Западной Европы, получила доступ к облачным системам электронной почты Outlook 25 организаций, включая несколько правительственных учреждений.

По данным CNN, эти цели охватывают правительственные учреждения США, включая Государственный департамент, хотя официальные лица США все еще работают над определением полного масштаба и последствий нарушений. В сообщении Агентства кибербезопасности и безопасности инфраструктуры США говорится, что нарушение, обнаруженное в середине июня правительственным агентством США, привело к краже несекретных данных электронной почты «из небольшого количества учетных записей».

Китай на протяжении десятилетий неустанно взламывает западные сети. Но в этой последней атаке используется уникальный трюк: Microsoft заявляет, что хакеры украли криптографический ключ, который позволил им генерировать свои собственные «токены» аутентификации — строки информации, предназначенные для подтверждения личности пользователя, — давая им полную свободу действий в десятках учетных записей клиентов Microsoft.

«Мы доверяли паспортам, и кто-то украл машину для печати паспортов», — говорит Джейк Уильямс, бывший хакер АНБ, который сейчас преподает в Институте прикладной сетевой безопасности в Бостоне. «Для такого крупного магазина, как Microsoft, с таким количеством клиентов, которых это затронуло (или тех, кого это могло затронуть), это беспрецедентно».

В облачных веб-системах браузеры пользователей подключаются к удаленному серверу, и когда они вводят учетные данные, такие как имя пользователя и пароль, им предоставляется часть данных, известная как токен, с этого сервера. Токен служит своего рода временным удостоверением личности, которое позволяет пользователям приходить и уходить в облачной среде в любое время, лишь изредка повторно вводя свои учетные данные. Чтобы гарантировать, что токен невозможно подделать, он криптографически подписывается уникальной строкой данных, известной как сертификат или ключ, которым обладает облачная служба, что является своего рода неподдельной печатью подлинности.

Лекси Панделл

Рид МакКартер

Анджела Уотеркаттер

Джулиан Чоккатту

Microsoft в своем блоге, раскрывающем взломы китайской Outlook, описала своего рода двухэтапный сбой в этой системе аутентификации. Во-первых, хакерам каким-то образом удалось украсть ключ, который Microsoft использует для подписи токенов для пользователей своих облачных сервисов потребительского уровня. Во-вторых, хакеры воспользовались ошибкой в ​​системе проверки токенов Microsoft, которая позволила им подписывать токены потребительского уровня украденным ключом, а затем использовать их для доступа к системам корпоративного уровня. Все это произошло несмотря на попытку Microsoft проверить подписи разных ключей для разных классов токенов.

Microsoft заявляет, что теперь заблокировала все токены, подписанные украденным ключом, и заменила ключ новым, не позволяя хакерам получить доступ к системам жертв. Компания добавляет, что с момента кражи она также работала над повышением безопасности своих «систем управления ключами».

Но как именно мог быть украден столь конфиденциальный ключ, обеспечивающий такой широкий доступ, остается неизвестным. WIRED связался с Microsoft, но компания отказалась от дальнейших комментариев.

По словам Тала Скверера, который возглавляет исследования в компании безопасности Astrix, которая ранее этим году обнаружила проблему безопасности токенов в облаке Google. В более старых версиях Outlook служба размещается и управляется на сервере, принадлежащем клиенту, а не в облаке Microsoft. Это могло позволить хакерам украсть ключ из одной из таких «локальных» установок в сети клиента.