Спецпроекты

Безопасность Новости поставщиков Стратегия безопасности

Китайские хакеры извлекли секретный ключ из аварийного дампа Windows

Как показало расследование Microsoft, хакеры, взломавшие два с лишним десятка правительственных учреждений в США, умело воспользовались ключом, случайно попавшим в аварийный дамп Windows. Без уязвимости нулевого дня тоже не обошлось.

Как умело воспользоваться тем, что нашлось там, где его не должно было быть

Хакерам из китайской APT Storm-0558 удалось выкрасть ключ подписи MSA (управляемых учётных записей служб) из аварийного дампа Windows; как установили эксперты Microsoft, этот ключ впоследствии использовался в атаках на Exchange Online и Azure Active Directory более чем двух десятков правительственных учреждений в США.

Источником дампа стал компьютер одного из разработчиков непосредственно в Microsoft; злоумышленники скомпрометировали его корпоративный аккаунт, используя уязвимость нулевого дня в GetAccessTokenForResourceAPI.

Это позволило им подделывать токены безопасного доступа и создавать аккаунты в сетях целевых организаций, не привлекая никаких подозрений.

В ходе расследования эксперты Microsoft обнаружили, что ключ MSA оказался там, где его быть не должно, - в аварийном дампе пользовательской версии Windows.

Фото: Microsoft
Китайским хакерам удалось выкрасть подписной ключ из дампа Windows и использовать его для взлома правительственной почты США

Как отмечает издание Infosecurity Magazine, в апреле 2021 случился сбой системы электронной подписи в Windows. Вследствие возникшего состояния гонки (конкурентного доступа к данным), ключ оказался в дампе, который, к тому же, оказался вне защищённой производственной среды Microsoft.

Хуже того, система, которая должна была обнаружить нежелательные данные в аварийном дампе, на ключ подписи не среагировала вовсе - ни до того, как дамп перенесли в отладочную среду, ни после его вывода из неё.

Разработчик, 0-day и масштабы бедствия

Спустя непродолжительное время хакеры Storm-0558 скомпрометировали корпоративный аккаунт разработчика Microsoft, у которого был доступ к отладочной среде (где всё ещё находился дамп с ключом).

В публикации Microsoft отмечено, что этот сценарий представляется наиболее вероятным. Логи, которые бы подтвердили или опровергли взлом именно со стороны Storm-0558, не сохранились в связи с корпоративными установками времени хранения.

«Наши методы сканирования реквизитов доступа не выявили присутствия атакующих (эта проблема впоследствии была исправлена)», - говорится в публикации Microsoft.

Об инциденте Microsoft стало известно в июле. Тогда же компания сообщила, что атакам подвергались только Exchange Online и Outlook.

Однако позднее эксперт компании Wiz Шир Тамари (Shir Tamari) заявил, что скомпрометированный ключ на самом деле обеспечил атакующим доступ к весьма обширному диапазону облачных ресурсов Microsoft и множеству приложений, в том числе SharePoint, OneDrive и Teams. Под угрозой оказались также пользовательские приложения, поддерживающие авторизацию через аккаунты Microsoft.

Технический директор Wiz Ами Люттвак (Ami Luttwak) заявил, что в экосистеме Microsoft токены авторизации Azure Active Directory используются повсеместно, так что злоумышленник с ключом подписи для AAD чуть ли ни всемогущим.

В Microsoft, однако, заявили, что скомпрометированный ключ может быть использован только против приложений, поддерживающих персональные аккаунты и в которых присутствовала устранённая к настоящему времени ошибка валидации.

«Хакерам, с одной стороны, повезло - доступ им обеспечила серия случайных ошибок. С другой стороны, Storm-0558 продемонстрировали очень серьёзный уровень подготовки и знание систем Microsoft, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Так умело воспользоваться подвернувшейся возможностью смог бы далеко не всякий профессионал».

Перестаньте жадничать с логами

Microsoft отозвала все ключи MSA, тем самым перекрыв хакерам доступ к другим скомпрометированным ключам и заблокировав попытки сгенерировать новые токены доступа. Наиболее свежие токены были переведены в хранилище ключей для собственных корпоративных систем компании.

Под давлением CISA Microsoft Также обеспечила бесплатный доступ к облачным логам - ранее он был доступен только премиальным клиентам. Сейчас критики компании утверждают, что если бы этот доступ был общедоступным ранее, многие атаки Storm-0558 удалось бы заблокировать.

Роман Георгиев

Короткая ссылка