{"id":5124,"date":"2023-07-23T23:50:17","date_gmt":"2023-07-23T21:50:17","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5124"},"modified":"2023-07-23T23:50:17","modified_gmt":"2023-07-23T21:50:17","slug":"microsoft-oluja-sa-pristupnim-kljucevima","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/07\/23\/microsoft-oluja-sa-pristupnim-kljucevima\/","title":{"rendered":"Microsoft oluja sa pristupnim klju\u010devima"},"content":{"rendered":"

Kompanija Microsoft<\/em> je objavila 16. jula 2023. godine da je otkrila kineske hakere<\/a> koji su provalili u naloge elektronske po\u0161te vi\u0161e od dvadesetak organizacija \u0161irom sveta, uklju\u010duju\u0107i vladine agencije SAD i Zapadne Evrope. Identifikacija napada\u010da je povezala napade i grupu poznatu pod nazivom Storm-0558<\/em> za koju se vjeruje da je specijalizovana za sajber \u0161pijuna\u017eu sa fokusom na prikupljanje osjetljivih informacija zloupotrebom pristupa nalozima elektronske po\u0161te.<\/span><\/p>\n

\"Microsoft

Microsoft oluja sa pristupnim klju\u010devima; Source: Bing Image Creator<\/em><\/p><\/div>\n

Kompanija Microsoft<\/em> je istragom utvrdila da je Storm-0558<\/em>, hakerska grupa sa sjedi\u0161tem u Kini, koju ova kompanija opisuje kao \u201cdobro opremljenog\u201d<\/em> protivnika, dobila pristup nalozima elektronske po\u0161te koriste\u0107i Outlook Web Access in Exchange Online <\/em>(OWA<\/em>) i Outlook.com <\/em>tako \u0161to je falsifikovanjem tokena za autentifikaciju pristupila korisni\u010dkim nalozima. U svojoj tehni\u010dkoj analizi napada, kompanija Microsoft<\/em> je objasnila da su hakeri koristili preuzeti Microsoft<\/em> klju\u010d za potpisivanje korisnika da bi krivotvorili tokene za pristup OWA<\/em> i Outlook.com<\/em>. Zatim su hakeri iskoristili problem sa validacijom tokena da bi se la\u017eno predstavljali za korisnike Azure AD<\/em> platforme i dobili pristup nalozima elektronske po\u0161te organizacije.<\/span><\/p>\n

 <\/p>\n

Ko je Storm-0558<\/em>?<\/strong><\/span><\/h2>\n

Hakerska grupa sa sjedi\u0161tem u Kini Storm-0558<\/em> (u prevodu Oluja-0558) usmjerava svoje napore ka \u0161pijuna\u017ei. Ima veze sa nekoliko napada visokog profila, posebno sa upadom u sisteme elektronske po\u0161te Dr\u017eavnog sekretarijata SAD (eng. US Department of State<\/em>) 2022. godine.<\/span><\/p>\n

Interes grupe Storm-0558<\/em> vjerovatno le\u017ei u prikupljanju detalja o dr\u017eavnoj politici, vojnim sposobnostima i ekonomskim tajnama, koje bi da iskoriste kako bi Kini pru\u017eili prednost u pregovorima, vojnom planiranju ili ekonomskom takmi\u010denju.<\/span><\/p>\n

Ova grupa predstavlja zna\u010dajnu prijetnju, jer imaju mogu\u0107nost da pristupe osjetljivim informacijama i koriste ih u zlonamjerne svrhe. Tako\u0111e su pokazali da su spremni da ciljaju organizacije visokog profila, \u0161to zna\u010di da bi mogla predstavljati ozbiljnu prijetnju po nacionalnu bezbjednost.<\/span><\/p>\n

 <\/p>\n

Zna\u010daj kriptografskih klju\u010deva<\/strong><\/span><\/h3>\n

Klju\u010devi za potpisivanje korisnika i klju\u010devi za potpisivanje su tipovi kriptografskih klju\u010deva koji se koriste za autentifikaciju i obezbje\u0111ivanje digitalnih informacija. Za razumijevanje njihovog zna\u010daja i va\u017enosti prvo je va\u017eno razumjeti klju\u010deve za potpisivanje i kako oni funkcioni\u0161u.<\/span><\/p>\n

Klju\u010devi za potpisivanje funkcioni\u0161u u okviru kriptografskog sistema koji se oslanja na asimetri\u010dne parove klju\u010deva: javni klju\u010d i privatni klju\u010d<\/a>. Privatni, bezbjedni klju\u010d za potpisivanje digitalno potpisuje tokene ili druge podatke kako bi potvrdio njihovo netaknuto poreklo iz pouzdanog izvora. Nakon toga, validacija potpisa se odvija preko javnog klju\u010da.<\/span><\/p>\n

Klju\u010devi za potpisivanje korisnika obavljaju zadatak provjere autenti\u010dnosti softvera instaliranog na ure\u0111aju. Kada korisnik instalira novi softver, ure\u0111aj potvr\u0111uje da potpis softvera poti\u010de od pouzdanog klju\u010da. Ure\u0111aj instalira softver sa va\u017ee\u0107im klju\u010dem i blokira ga kada je klju\u010d neva\u017eec\u0301i.<\/span><\/p>\n

Ako zlonamjerni napada\u010d<\/a> mo\u017ee da dobije pristup klju\u010du za potpisivanje korisnika za taj ure\u0111aj, mo\u017ee da kreira i instalira sopstveni zlonamjerni softver<\/a> koji \u0107e ure\u0111aj prihvatiti kao legitiman. Zbog toga su napadi na klju\u010deve za potpisivanje<\/a> korisnika toliko opasni. Ako napada\u010d uspije da ugrozi klju\u010d za potpisivanje za popularni ure\u0111aj, potencijalno mo\u017ee da zarazi hiljade ili \u010dak milione ure\u0111aja zlonamjernim softverom. To mo\u017ee dovesti do razornih posljedica i za korisnike i za poslovne organizacije.<\/span><\/p>\n

 <\/p>\n

Detalji napada<\/strong><\/span><\/h3>\n

Kompanija Microsoft<\/em> je 16. jula 2023. godine obavije\u0161tena o neobi\u010dnim aktivnostima od strane klijenta u pogledu pristupa Exchange Online<\/em> podacima. Analiza je pokazala da aktivnosti ukazuju na Storm-0558<\/em> grupu na osnovu ranije dostupnih analiza pona\u0161anja napada\u010da i da ova grupa pristupa Exchange<\/em> Online<\/em> podacima kori\u0161tenjem Outlook<\/em> Web<\/em> Access<\/em> (OWA<\/em>) servisa.<\/span><\/p>\n

Tokom istrage je pretpostavljeno da su zlonamjerni akteri krali ispravno izdate tokene za Azure Active Directory<\/em> (Azure AD<\/em>), najvjerovatnije koriste\u0107i zlonamjerni softver na zara\u017eenim ure\u0111ajima korisnika. Kasnije je utvr\u0111eno da su napada\u010di koristili Exchange Online<\/em> elemente autentifikacije, koji su obi\u010dno izvedeni iz Azure AD<\/em> tokena za autentifikaciju (eng. Azure AD tokens<\/em>). Dalja detaljna analiza u narednih nekoliko dana navela je analiti\u010dare kompanije Microsoft<\/em> da procjene da interni elementi autentifikacije Exchange Online<\/em> ne odgovaraju Azure AD<\/em> tokenima u Microsoft<\/em> evidencijama.<\/span><\/p>\n

Nakon toga, istraga je po\u010dela uzimati u obzir mogu\u0107nost da su napada\u010di krivotvorili tokene za autentifikaciju koriste\u0107i kompromitovani Azure AD<\/em> klju\u010d za potpisivanje poslovnih organizacija. Detaljna analiza aktivnosti Exchange Online<\/em> otkrila je da je zlonamjerni akter zapravo krivotvorio Azure AD<\/em> tokene koriste\u0107i kompromitovani klju\u010d za potpisivanje Microsoft<\/em> naloga (MSA<\/em>). Ovo je omogu\u0107eno gre\u0161kom u validaciji u Microsoft<\/em> k\u00f4du. Upotreba krivotvorenog klju\u010da za potpisivanje ovog obima je bio o\u010digledan pokazatelj aktivnosti zlonamjernih aktera, jer nijedan Microsoft<\/em> sistem ne potpisuje tokene na ovaj na\u010din.<\/span><\/p>\n

Upotreba falsifikovanih tokena za autentifikaciju za pristup klijentskim Exchange Online<\/em> podacima razlikuje se od prethodno zabilje\u017eene aktivnosti grupe Storm-0558<\/em>. Grupa Storm-0558<\/em> je nabavila neaktivan MSA<\/em> klju\u010d za potpisivanje korisnika i koristila ga za falsifikovanje tokena za autentifikaciju za Azure AD<\/em> poslovne organizacije i MSA<\/em> korisnike za pristup OWA<\/em> i Outlook.com<\/em> servisima.<\/span><\/p>\n

 <\/p>\n

Pro\u0161ireni uticaj<\/strong><\/span><\/h4>\n

U izvje\u0161taju sigurnosnih istra\u017eiva\u010da kompanije Wiz<\/em><\/a>,<\/em> koja je analizirala napad grupe Storm<\/em>–0558<\/em> i zloupotrebu falsifikovanih tokena za autentifikaciju za pristup klijentskim Exchange<\/em> Online<\/em> podacima, postoji naznaka da ovaj incident ima \u0161iri obim nego \u0161to se prvobitno pretpostavljalo. Organizacije koje koriste Microsoft<\/em> i Azure usluge trebalo bi da preduzmu korake da procjene potencijalni uticaj.<\/span><\/p>\n

\u00a0<\/strong><\/span>Kompanija Microsoft<\/em> je objavili da Outlook.com<\/em> i Exchange<\/em> Online<\/em> jedini pogo\u0111eni servisi uzimaju\u0107i u obzir napad grupe Storm-0558<\/em> koja je koristila tehniku falsifikovanja tokena, me\u0111utim istra\u017eivanje kompanije Wiz<\/em> pokazuje da je kompromitovani klju\u010d za potpisivanje bio mo\u0107niji nego \u0161to se mo\u017eda \u010dinilo, i da nije ograni\u010den samo na te dvije usluge.<\/span><\/p>\n

Istra\u017eivanje je pokazalo da je kompromitovani MSA<\/em> klju\u010d mogao da omogu\u0107i zlonamjernom akteru da falsifikuje pristupne tokene za vi\u0161e tipova Azure AD<\/em> aplikacija, uklju\u010duju\u0107i svaku aplikaciju koja podr\u017eava autentifikaciju li\u010dnog naloga, kao \u0161to su SharePoint<\/em>, Teams<\/em>, OneDrive<\/em>, aplikacije klijenata koje podr\u017eavaju funkciju \u201eprijava sa Microsoft<\/em>-om\u201c i aplikacije sa vi\u0161e zakupaca u odre\u0111enim uslovima.<\/span><\/p>\n

\"OpenID

Compromised Microsoft signing key impact (Wiz)<\/em><\/p><\/div>\n

Iako je kompanija Microsoft<\/em> primijenila mjeru opoziva ugro\u017eenog klju\u010da za \u0161ifrovanje i objavila indikatore kompromisa (eng. indicator of compromise \u2013 IOC<\/em>), korisnicima bi moglo biti te\u0161ko da otkriju upotrebu falsifikovanih tokena zbog nedostatka evidencije u klju\u010dnim poljima koja se odnose na proces verifikacije tokena. Problem je u tome \u0161to su klju\u010devi provajdera za potpisivanje identiteta vjerovatno najmo\u0107nije tajne u savremenom svetu, mo\u0107niji \u010dak i od TLS<\/em> klju\u010deva. U slu\u010daju da napada\u010d dobije pristup TLS<\/em> klju\u010du nekog servera i dalje bi morao na neki na\u010din da se la\u017eno predstavlja kao taj server da bi postigao zna\u010dajan uticaj.<\/span><\/p>\n

Sa klju\u010devima provajdera identiteta, mo\u017eete dobiti trenutni pristup sa jednim potezom za sve, bilo koju elektronsku po\u0161tu, uslugu skladi\u0161tenja podataka ili nalog u oblaku. Ovo nije samo problem kompanije Microsoft<\/em>, ve\u0107 bi u situaciji ako procuri klju\u010d za potpisivanje za kompanije kao \u0161to su Google<\/em>, Facebook<\/em>, Okta<\/em> ili bilo koji drugi veliki provajder identiteta, posljedice bi bilo te\u0161ko shvatiti.<\/span><\/p>\n

<\/h4>\n

Nova oluja?<\/strong><\/span><\/h4>\n

Azure<\/em> platforma objavljuje vi\u0161e lista pouzdanih klju\u010deva u opsegu razli\u010ditih tipova aplikacija. Oni slu\u017ee za provjeru integriteta tokena koje izdaje Azure AD<\/em>. Tokom procesa autentifikacije za Azure AD<\/em> aplikaciju, aplikacija mora potvrditi autenti\u010dnost tokena tako \u0161to \u0107e potvrditi njegov potpis u odnosu na ispravnu listu pouzdanih javnih klju\u010deva. Ova verifikacija odre\u0111uje da li tokenu treba vjerovati.<\/span><\/p>\n

Ako je bilo koji od klju\u010deva sa jedne od ovih listi ugro\u017een, postoji zna\u010dajan rizik za aplikacije koje koriste tu listu za validaciju. Takav incident bi mogao omogu\u0107iti zlonamjernim napada\u010dima da krivotvore va\u017eec\u0301e tokene za pristup od strane bilo koje aplikacije koja zavisi od platforme Azure pod odre\u0111enim uslovima. Sada prema dostupnim informacijama iz napada grupe Storm-0558<\/em>, ova grupa je izgleda uspjela da dobije pristup jednom od nekoliko klju\u010deva koji su bili namijenjeni za potpisivanje i verifikaciju Azure AD<\/em> pristupnih tokena.<\/span><\/p>\n

Kompromitovanom klju\u010d je imao mogu\u0107nost da potpi\u0161e bilo koji OpenID v2.0<\/em> pristupni token za li\u010dne naloge i Azure AD<\/em> aplikacije za mje\u0161ovite korisnike (vi\u0161e zakupaca ili li\u010dnih naloga). Uzimaju\u0107i sve ovo u obzir, grupa Storm-0558<\/em> bi mogla da koristi privatni klju\u010d koji ima u posjedu da falsifikuje tokene za autentifikaciju kao bilo koji korisnik za bilo koju aplikaciju koja ima povjerenja u Microsoft<\/em> OpenID v2.0<\/em> certifikate bilo da se radi o vi\u0161e zakupaca ili li\u010dnih naloga.<\/span><\/p>\n

 <\/p>\n

Rizik za korisnike<\/strong><\/span><\/h5>\n

Po\u0161to je kompanija Microsoft<\/em> opozivala kompromitovani klju\u010d, Azure AD<\/em> aplikacije vi\u0161e ne\u0107e prihvatati falsifikovane tokene kao va\u017eec\u0301e tokene. Ove aplikacije \u0107e tako\u0111e odbaciti tokene sa produ\u017eenim rokom va\u017eenja.<\/span><\/p>\n

Me\u0111utim, tokom prethodno uspostavljenih sesija sa korisni\u010dkim aplikacijama pre opoziva, zlonamjerni akter je mogao da iskoristi svoj pristup da uspostavi upori\u0161te. Ovo se moglo desiti kori\u0161tenjem dobijenih dozvola aplikacije za izdavanje pristupnih klju\u010deva specifi\u010dnih za aplikaciju ili postavljanjem pozadinskih vrata specifi\u010dnih za aplikaciju. Zna\u010dajan primjer ovoga je to \u0161to je, pre reakcije kompanije Microsoft<\/em>, grupa Storm-0558<\/em> izdala va\u017eec\u0301e tokene za Exchange<\/em> Online<\/em> pristup tako \u0161to je krivotvorila pristupne tokene za Outlook Web Access<\/em> (OWA<\/em>).<\/span><\/p>\n

Tu je jo\u0161 jedan potencijalni problem za aplikacije koje su zadr\u017eale kopije Azure AD<\/em> javnih klju\u010deva pre opoziva Microsoft<\/em> certifikata. Aplikacije koje se oslanjaju na lokalna skladi\u0161ta certifikata ili klju\u010deve u ke\u0161 memoriji i dalje vjeruju kompromitovanom klju\u010du ostaju podlo\u017ene falsifikovanju tokena. Za ove aplikacije je neophodno da odmah osvje\u017ee listu pouzdanih certifikata. Kompanija Microsoft<\/em> savjetuje osvje\u017eavanje ke\u0161 memorije lokalnih prodavnica i certifikata najmanje jednom dnevno.<\/span><\/p>\n

 <\/p>\n

Mjere za\u0161tite<\/strong><\/span><\/h5>\n

Kako bi korisnici utvrdili da je kompromitovani klju\u010d kori\u0161\u0107en u njihovom okru\u017eenju, potrebno je identifikovati sve potencijalno pogo\u0111ene aplikacije u korisni\u010dkom okru\u017eenju, potra\u017eiti upotrebu falsifikovanih tokena i iskoristiti indikatore kompromitovanja (IoC<\/em>) koje je objavila kompanija Microsoft<\/em> na svom blogu<\/a>.<\/span><\/p>\n

Korisnici treba da provjere da niti jedna aplikacija ne koristi ke\u0161iranu verziju javnih certifikata Microsoft<\/em> OpenID, <\/em>a u slu\u010daju da koristi potrebno je osvje\u017eiti ke\u0161 memoriju. Kompanija Microsoft<\/em> je dodala dodatne verifikacije zvani\u010dnom Azure SDK<\/em> koje su dizajnirane da sprije\u010de upotrebu MSA<\/em> klju\u010deva za autentifikaciju naloga organizacije. Korisnicima paketa se savjetuje da ga a\u017euriraju na najnoviju verziju.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

Potpuni uticaj ovog incidenta je mnogo ve\u0107i nego \u0161to je u po\u010detku izgledalo. Ovaj incident bi mogao imati dugotrajne posljedice na povjerenje korisnika u servise u oblaku i klju\u010dne komponente koje ga podr\u017eavaju, pre svega, sloj identiteta koji je osnovna struktura svega \u0161to se radi u oblaku.<\/span><\/p>\n

Trenutno je veoma te\u0161ko utvrditi puni obim incidenta, jer su postojali milioni aplikacija koje su bile potencijalno ranjive, i Microsoft<\/em> aplikacije i aplikacije za korisnike, a ve\u0107ini njih nedostaje dovoljno evidencije da bi se utvrdilo da li su kompromitovane ili ne.<\/span><\/p>\n

Me\u0111utim, postoje neke veoma va\u017ene radnje koje vlasnici aplikacija treba da izvr\u0161e. Prvo i najva\u017enije je da a\u017euriraju svoj Azure SDK<\/em> na najnoviju verziju i osiguraju da je njihova ke\u0161 memorija a\u017eurirana, u suprotnom njihove aplikacije mogu i dalje biti ranjive na prijetnje, ako koriste kompromitovani klju\u010d.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Kompanija Microsoft je objavila 16. jula 2023. godine da je otkrila kineske hakere koji su provalili u naloge elektronske po\u0161te vi\u0161e od dvadesetak organizacija \u0161irom sveta, uklju\u010duju\u0107i vladine agencije SAD i Zapadne Evrope. Identifikacija...<\/p>","protected":false},"author":1,"featured_media":5127,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[476,480,130,478,479,256,477],"class_list":["post-5124","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-cloud","tag-key","tag-microsoft","tag-outlook-web-access","tag-outlook-com","tag-owa","tag-storm-0558"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5124","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5124"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5124\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5127"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5124"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5124"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5124"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}