Microsoft оспаривает сообщение о том, что китайские хакеры могли получить доступ к набору программ

Microsoft оспаривает новый отчет, в котором утверждается, что хакеры могли иметь доступ к большему количеству частей систем жертв, чем было известно ранее, в ходе кампании, нацеленной на десятки организаций, включая государственные учреждения.

В ходе атак китайские хакеры получили доступ к электронной почте министра торговли США Джины Раймондо. Посол США в Китае Николас Бернс и Дэниел Критенбринкпомощник госсекретаря по Восточной Азии, перед поездкой в ​​Китай в прошлом месяце.

Чтобы получить доступ к учетным записям Outlook, они использовали неактивный ключ подписи потребителя для подделки токенов проверки подлинности для службы многофакторной проверки подлинности Azure Active Directory.

Исследователи из охранной компании Wiz опубликовали отчет в пятницу, заявив, что помимо доступа к учетным записям электронной почты Outlook, хакеры могли использовать ключ для подделки токенов доступа для различных программ Azure, таких как SharePoint, Teams и OneDrive, а также для «клиентских приложений, которые поддерживают функцию входа в систему с помощью Microsoft» и мультитенантные приложения в определенных условиях».

«Microsoft заявила, что Outlook.com и Exchange Online были единственными приложениями, которые, как известно, были затронуты методом подделки токенов, но Wiz Research обнаружила, что скомпрометированный ключ подписи оказался более мощным, чем могло показаться, и не ограничивался только этими двумя службами», — сказали они.

«Полное влияние этого инцидента намного больше, чем мы изначально предполагали».

Исследователи добавили, что инцидент будет иметь «долгосрочные последствия для нашего доверия к облаку и основным компонентам, которые его поддерживают, прежде всего, к уровню идентификации, который является основной тканью всего, что мы делаем в облаке».

Далее в отчете рассматривается, насколько важны ключи подписи потребителей для экосистемы Microsoft, и какие действия могут быть предприняты, если они попадут в чужие руки.

Хакеры могли «теоретически использовать полученный закрытый ключ для подделки токенов для аутентификации любого пользователя в любом уязвимом приложении, которое доверяет» сертификатам Microsoft.

Хотя Microsoft с тех пор отозвала скомпрометированный ключ, Wiz заявил, что хакеры могли использовать полученный доступ, чтобы установить постоянство в сети жертвы.

Как отмечают исследователи, Microsoft и несколько федеральных агентств все еще расследуют инцидент, что затрудняет понимание того, как именно другие организации могут защитить себя от такого рода атак.

После фиаско осталось несколько нерешенных вопросов, в том числе, как и когда хакеры получили ключ, и были ли скомпрометированы другие ключи.

«На данном этапе трудно определить полный масштаб инцидента, поскольку миллионы приложений, как приложений Microsoft, так и клиентских, были потенциально уязвимы, и у большинства из них нет достаточных журналов, чтобы определить, были ли они скомпрометированы или нет», — сказал Виз.

Отвечая на вопрос об отчете, представитель Microsoft сказал Recorded Future News, что клиентам следует вместо этого прочитать опубликованные ею блоги об инциденте и сосредоточиться на индикаторах компрометации, которые они предоставили.

«Многие утверждения, сделанные в этом блоге, являются спекулятивными и не основанными на фактах», — сказал представитель.

«Мы также недавно расширили возможности ведения журналов безопасности, сделав их бесплатными по умолчанию для большего числа клиентов, чтобы помочь предприятиям управлять все более сложным ландшафтом угроз».

Исследователи Wiz выразили удивление реакцией Microsoft, сообщив Recorded Future News, что их блог «был проверен и подтвержден» командой Microsoft Security Response Center.

«Мы сотрудничали с ними в блоге, и они помогли обеспечить техническую точность», — сказал представитель Wiz.

Сообщение Wiz заканчивается благодарностью команде Microsoft за «тесное сотрудничество с нами в этом блоге и помощь в обеспечении его технической точности».

Зейн Бонд из Keeper Security отметил, что, хотя технические опасения оправданы, большую озабоченность вызывает то, насколько хорошо осведомлены и обеспечены ли злоумышленники ресурсами.

«Эта злоумышленник знала, что у них есть ценный доступ, и поэтому использовала его как можно лучше в то время, которое у них было. Боковой переход к другим службам — одна из наиболее распространенных тактик злоумышленников», — сказал Бонд.

«Облако — это палка о двух концах, и это событие подчеркивает некоторые преимущества и недостатки. В большинстве случаев это большое преимущество, поскольку поставщик облачных услуг может расследовать и устранять такие типы вторжений для своих клиентов. Однако недостатком является то, что одно нарушение может привести к компрометации нескольких организаций, и субъект угрозы может выбирать наиболее ценные цели и данные, как только они попадут внутрь».

Хотя CISA отказалась приписать взлом Китаю, Государственный департамент сказал на прошлой неделе что у него «нет оснований сомневаться» в оценке Microsoft о том, что атака была организована хакерами, связанными с правительством Китая.

Посольство Китая насильно отказано любой причастности к инциденту в заявлении для Reuters.