Η Microsoft δηλώνει ότι έλυσε το μυστήριο για το πώς ύποπτοι Κινέζοι χάκερ απέκτησαν ένα ψηφιακό κλειδί υπογραφής για να πραγματοποιήσουν την παραβίαση του Outlook τον Ιούλιο που επηρέασε αρκετές κυβερνητικές υπηρεσίες των ΗΠΑ.
Σύμφωνα με τη Microsoft, το κλειδί διέρρευσε κατά λάθος όταν ο υπολογιστής της εταιρείας που το κατείχε κατέρρευσε τον Απρίλιο του 2021. Κατά τη διάρκεια του σφάλματος, το μηχάνημα δημιούργησε μια αναφορά crash dump, η οποία απέτυχε να διαγράψει το κλειδί από το αρχείο λόγω ενός σφάλματος λογισμικού.
Η Microsoft πρόσθεσε ότι οι εταιρικοί υπολογιστές που κατέχουν τέτοια κλειδιά υπογραφής είναι “εξαιρετικά απομονωμένοι” και τους έχουν αφαιρεθεί διάφορες υπηρεσίες διαδικτύου, όπως το ηλεκτρονικό ταχυδρομείο και η τηλεδιάσκεψη. Ωστόσο, η έκθεση crash dump κατέληξε να ανοίξει ένα κενό στην ασφάλεια. Το μη επεξεργασμένο αρχείο διαβιβάστηκε αυτόματα σε έναν υπολογιστή της Microsoft που ήταν αφιερωμένος στην αποσφαλμάτωση, ο οποίος έτυχε επίσης να είναι συνδεδεμένος στο διαδίκτυο.
Αυτό άνοιξε τον δρόμο στους Κινέζους χάκερς να λεηλατήσουν το ψηφιακό κλειδί όταν παραβίασαν τον εταιρικό λογαριασμό ενός μηχανικού της Microsoft, αν και παραμένει ασαφές πώς συνέβη αυτό.
“Αυτός ο λογαριασμός είχε πρόσβαση στο περιβάλλον εντοπισμού σφαλμάτων που περιείχε το crash dump το οποίο εσφαλμένα περιείχε το κλειδί”, ανέφερε η εταιρεία στην έκθεση της Τετάρτης. “Λόγω των πολιτικών διατήρησης των αρχείων καταγραφής, δεν έχουμε αρχεία καταγραφής με συγκεκριμένες αποδείξεις αυτής της εξαπόλυσης από αυτόν τον δράστη, αλλά αυτός ήταν ο πιο πιθανός μηχανισμός με τον οποίο ο δράστης απέκτησε το κλειδί”.
Η κλοπή του κλειδιού επέτρεψε στη συνέχεια στους ύποπτους Κινέζους χάκερς να πλαστογραφήσουν τα tokens ελέγχου ταυτότητας για να αποκτήσουν πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου των πελατών στην υπηρεσία Outlook της Microsoft. Τούτου λεχθέντος, το κλειδί υπογραφής είχε αρχικά σχεδιαστεί για τους λογαριασμούς Microsoft των καταναλωτών – και όχι για τους εταιρικούς λογαριασμούς Outlook που είχαν ως στόχο οι χάκερς.
Το πρόβλημα είναι ότι η Microsoft παρέλειψε να ενημερώσει μια βιβλιοθήκη λογισμικού για την αυτόματη επικύρωση των υπογραφών του κλειδιού υπογραφής μεταξύ λογαριασμών καταναλωτών και επιχειρήσεων. “Οι προγραμματιστές του συστήματος αλληλογραφίας υπέθεσαν εσφαλμένα ότι οι βιβλιοθήκες εκτελούσαν πλήρη επικύρωση και δεν πρόσθεσαν την απαιτούμενη επικύρωση εκδότη/περιοχής”, δήλωσε η Microsoft. “Έτσι, το σύστημα αλληλογραφίας θα δεχόταν ένα αίτημα για επιχειρησιακό email χρησιμοποιώντας ένα κουπόνι ασφαλείας υπογεγραμμένο με το κλειδί καταναλωτή”.
Η Microsoft εξέδωσε την έκθεση καθώς η εταιρεία δέχεται επικρίσεις για την αποτυχία της να σταματήσει την παραβίαση του Outlook. Τον Ιούλιο, ο γερουσιαστής Ρον Γουάιντεν κάλεσε το Υπουργείο Δικαιοσύνης και την FTC να ερευνήσουν τη Microsoft, υποστηρίζοντας ότι η εταιρεία υπέφερε από “αμελείς πρακτικές κυβερνοασφάλειας” που θέτουν σε κίνδυνο τους πελάτες της.
Για παράδειγμα, ο Γουάιντεν κατηγόρησε τους εσωτερικούς και εξωτερικούς ελέγχους της Microsoft ότι δεν κατάφεραν να εντοπίσουν την ευπάθεια στην υπογραφή κλειδιών. Εν τω μεταξύ, και άλλοι ειδικοί σε θέματα κυβερνοασφάλειας έχουν επίσης τοποθετηθεί και κατηγόρησαν τη Microsoft ότι προσπαθεί να αποσείσει την ευθύνη για τα λάθη της ίδιας της εταιρείας στο παρελθόν.
Σύμφωνα με την έκθεση της Microsoft, η εταιρεία έχει έκτοτε καθαρίσει τα σφάλματα και τις διαδικασίες που επέτρεψαν στους Κινέζους χάκερς να ενορχηστρώσουν την παραβίαση. Αυτό περιελάμβανε την ενίσχυση των συστημάτων ανίχνευσης της εταιρείας ώστε να αποτραπεί η λανθασμένη προσθήκη ευαίσθητου υλικού σε αρχεία crash dump. Αλλά ο χρόνος θα δείξει αν η έκθεση της εταιρείας τροφοδοτεί περαιτέρω τις επικρίσεις για την προσέγγιση της Microsoft όσον αφορά την ασφάλεια.
Πηγή: PC Magazine
