İç Güvenlik Bakanlığı'nın Siber Güvenlik İnceleme Kurulu (CSRB), ABD devlet kurumları tarafından kullanılan Microsoft Exchange hesaplarının son Çin hacklerini takiben bulut güvenlik uygulamalarının derinlemesine bir inceleme yapmayı planladığını açıkladı.
CSRB, kritik olayların daha iyi anlaşılmasını, kök nedenlerini ayırt eden ve siber güvenlik konusunda bilgilendirilmiş önerilerde bulunan derinlemesine soruşturmalar yürütmek için oluşturulan kamu ve özel sektörlerin bir işbirliğidir.
Bu durumda, CSRB, hükümet, endüstri ve bulut hizmet sağlayıcılarının (CSP) bulutta kimlik yönetimi ve kimlik doğrulamasını nasıl artırabileceğini ve tüm paydaşlar için eyleme geçirilebilir siber güvenlik önerileri geliştirebileceğini araştıracaktır.
Bu öneriler, hükümet sistemlerini ve hesaplarını korumak için hangi eylemlerin yapılması gerektiğine karar verecek olan CISA ve mevcut ABD yönetimine iletilecektir.
Anayuran Güvenlik Sekreteri Alejandro Mayorkas, "Her türlü kuruluş, Amerikan halkına hizmet sunmak için bulut bilişimine giderek daha fazla güveniyor, bu da bu teknolojinin güvenlik açıklarını anlamamızı zorunlu kılmaktadır." Dedi.
"Bulut güvenliği, e-ticaret platformlarımızdan iletişim araçlarımıza ve kritik altyapımıza kadar en kritik sistemlerimizden bazılarının belkemiğidir."
Temmuz ayı ortalarında Microsoft, 'Storm-0558' olarak izlenen bir Çin hack grubunun, çalınan Microsoft tüketici imzalama anahtarından sahte kimlik doğrulama jetonlarını kullanarak ABD ve Batı Avrupa hükümet ajansları da dahil olmak üzere 25 kuruluşun e-posta hesaplarını ihlal ettiğini bildirdi.
Bu çalınan anahtarı kullanarak, Çin tehdit aktörleri, GetAccessTokenForResource API işlevinde Outlook Web Erişiminde (OWA) yetkilendirme jetonlarını oluşturmak için sıfır gün güvenlik açığından yararlandı.
Bu jetonlar, tehdit aktörlerinin Azure hesaplarını taklit etmesine ve çok sayıda devlet kurumunun ve kuruluşunun e -postayı izlemesi ve çalması için e -posta hesaplarına erişmesine izin verdi.
Bu saldırılardan sonra Microsoft, Microsoft müşterilerine ücretsiz olarak yeterli giriş sağlayamadığı için çok fazla eleştiriyle karşılaştı. Bunun yerine, Microsft, müşterilerin bu saldırıların tespit edilmesine yardımcı olabilecek günlük verileri elde etmek için ek lisans satın almalarını gerektirdi.
Saldırıları tespit etmek için gereken önemli günlük verilerini belirlemek için CISA ile çalıştıktan sonra Microsoft, şimdi tüm Microsoft müşterilerine ücretsiz olarak sunduklarını açıkladı.
Microsoft çalınan imza anahtarını iptal etti ve daha fazla istismarı önlemek için API kusurunu düzeltti. Yine de, olayla ilgili soruşturmaları, bilgisayar korsanlarının ilk etapta anahtarı nasıl satın aldığını tam olarak açıklayamadı.
İhlalin ilk keşfinden iki hafta sonra Wiz araştırmacıları, Storm-0558'in erişiminin Microsoft'un OpenID V2.0 ile çalışan Azure AD uygulamaları da dahil olmak üzere Microsoft'un daha önce bildirdiğinden çok daha geniş olduğunu bildirdi.
Wiz, Çinli bilgisayar korsanlarının çeşitli Microsoft uygulamalarına ve Microsoft hesap kimlik doğrulamasını destekleyen herhangi bir müşteri uygulamalarına erişmek için tehlikeye atılan anahtarı kullanabileceğini açıkladı, bu nedenle olay Exchange sunucularından e -postalara erişmek ve bunları eklemekle sınırlı olmayabilir.
İhlalin ciddi doğası, gerekli kapsamlı soruşturma çabaları ve bugüne kadar sonuçsuz bulgular göz önüne alındığında, ABD hükümeti CSRB'yi, kullanıcıları, savunucuları ve savunucuları güçlendirecek bilgiler üreteceğini umarak davanın kapsamlı bir incelemesini yapmaya görevlendirdi. gelecekteki tehditlere karşı hizmet sağlayıcılar.
CSRB'nin geçmiş incelemeleri, 2021'deki Log4J yazılımındaki geniş kapsamlı güvenlik açıkları ve SIM değiştirme ve sosyal mühendislik gibi basit ama son derece etkili teknikler kullanan Fortune 500 şirketlerini ihlal eden bir hack grubu olan Lapsus $ 'ın faaliyetlerini içeriyor.
Yeni Microsoft Azure AD CTS özelliği yanal hareket için kötüye kullanılabilir
Çalıntı Microsoft Key, Microsoft Cloud Services'a yaygın erişim sundu
Microsoft, Exchange Hacks'den sonra Bulut Günlüğü Verilerine Erişimi Ücretsiz İçin Genişletir
Microsoft, bilgisayar korsanlarının Azure Reklam İmzalama Anahtarını Nasıl Çalıştırdığından Emin Olmuyor
Microsoft: Çinli hackerlar ABD Govt Exchange e -posta hesaplarını ihlal etti
Kaynak: Bleeping Computer