اختراق Outlook: كشفت Microsoft كيف أدى عطل في الانهيار إلى خرق أمني كبير. كشفت Microsoft يوم الأربعاء أن فاعل تهديد صيني يُعرف باسم Storm-0558 قد حصل على مفتاح التوقيع الاستهلاكي غير النشط لتزوير الرموز للوصول إلى Outlook من خلال اختراق حساب الشركة الخاص بمهندس.
أدى هذا إلى تمكن الخصم من الوصول إلى بيئة تصحيح الأخطاء التي تحتوي على عطل في الانهيار لنظام التوقيع الاستهلاكي الذي حدث في أبريل 2021 وسرقة المفتاح.
قال مركز Microsoft Security Response Center (MSRC) في تقرير ما بعد الوفاة. “أدى انهيار نظام التوقيع الاستهلاكي في أبريل 2021 إلى إنشاء لقطة لعملية تعطل (‘عطل الانهيار’)”.
“يجب ألا تتضمن تعطل الانهيار. الذي يقوم بتحرير المعلومات الحساسة. مفتاح التوقيع. في هذه الحالة. سمحت حالة السباق بوجود المفتاح في عطل الانهيار. لم يتم اكتشاف وجود مادة المفتاح في عطل الانهيار بواسطة أنظمتنا.”
قال صانع Windows إن عطل الانهيار تم نقله إلى بيئة تصحيح الأخطاء على شبكة الشركة المتصلة بالإنترنت. حيث يُشتبه في أن Storm-0558 قد حصل على المفتاح بعد اختراق حساب الشركة الخاص بالمهندس.
من غير المعروف حاليًا ما إذا كان هذا هو الآلية الدقيقة التي تم تبنيها من قبل فاعل التهديد حيث لاحظت Microsoft أنها لا تملك سجلات تقدم دليلًا ملموسًا على ال exfiltration بسبب سياسات الاحتفاظ بالسجلات الخاصة بها.
تقرير Microsoft.
يشير تقرير Microsoft أيضًا إلى التصيد المستهدف ونشر برامج ضارة لسرقة الرموز. لكنه لم ي elaborate على طريقة عمل كيفية اختراق حساب المهندس في المقام الأول. إذا تم اختراق حسابات الشركة الأخرى. ومتى أصبح على علم بالاختراق.
ومع ذلك. فإن التطور الأخير يوفر نظرة ثاقبة لسلسلة من الأخطاء الأمنية المتتالية التي أدت إلى وصول المفتاح التوقيعي إلى أيدي فاعل ماهر يتمتع بدرجة عالية من المهارة الفنية وسلامة العمليات.
Storm-0558 هو الاسم الذي أطلقته Microsoft على مجموعة القرصنة التي تم ربطها باختراق ما يقرب من 25 منظمة باستخدام مفتاح التوقيع الاستهلاكي والحصول على وصول غير مصرح به إلى Outlook Web Access (OWA) و Outlook.com.
تم إلقاء اللوم على المشكلة صفر يومًا على خطأ في التحقق سمح للمفتاح أن يكون موثوقًا به لتوقيع Azure AD tokens. تشير الأدلة إلى أن النشاط السيبراني الخبيث بدأ قبل شهر من اكتشافه في يونيو 2023.
وهذا بدوره كان ممكنًا لأن “نظام البريد سيقبل طلبًا لبريد تجاري باستخدام رمز أمان موقع باستخدام المفتاح الاستهلاكي.” تم إصلاح “المشكلة” منذ ذلك الحين بواسطة Microsoft.
كشفت شركة الأمن السحابي Wiz في يوليو أن المفتاح التوقيعي المستهلك الذي تم اختراقه من Microsoft يمكن أن يمكّن الوصول الواسع النطاق إلى خدمات سحابية أخرى.
ومع ذلك. قالت Microsoft إنها لم تجد أي دليل إضافي على الوصول غير المصرح به إلى التطبيقات خارج رسائل البريد الإلكتروني. كما وسعت Microsoft من الوصول إلى تسجيلات الأمان بعد انتقادات بأن الميزة كانت مقصورة على العملاء الذين لديهم تراخيص Purview Audit (Premium). وبالتالي تقييد بيانات الطب الشرعي للآخرين.
الخلاصة
يسلط هذا المقال الضوء على خرق أمني كبير لنظام Outlook تم تسهيله من خلال سلسلة من الأخطاء الأمنية المتتالية. من المهم أن تكون على دراية بهذه التهديدات واتخاذ خطوات لحماية نفسك.
اختراق Outlook: كشفت Microsoft كيف أدى عطل في الانهيار إلى خرق أمني كبير. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.