Společnosti Microsoft a CISA nedávno zveřejnily bezpečnostní incident, který se dotkl několika zákazníků služeb Exchange Online a Outlook.com.
Podle Microsoftu tento problém vznikl v důsledku útoku Storm-0558, připisovaného aktérům z Číny. Došlo ke zcizení soukromého šifrovacího klíče a jeho následného zneužití k padělání přístupových tokenů pro Outlook Web Access (OWA) a Outlook.com. Navíc se strůjce útoku údajně zaměřil na dvě bezpečnostní chyby v ověřovacích procesech Microsoft tokenů.
Už v polovině června si americké úřady všimly neobvyklých událostí na svých online účtech Exchange. Společnost Microsoft se problémem zabývala a podle vlastních informací přijala rozsáhlá opatření, aby postižené zákazníky informovala a útoky zastavila. Dotčené služby Exchange Online a Outlook.com jsou už údajně bezpečné a uživatelé se nemusí ničeho obávat.
Problém ale může být mnohem hlubší. Podezřelí čínští útočníci dokázali ukrást podpisový klíč, který použili k získání přístupu ke službě Microsoft Exchange. Podle aktuální bezpečnostní analýzy bylo možné získat přístup i k dalším cloudovým službám Microsoftu.
Klíč k téměř všem cloudovým službám Microsoftu?
Ukradené podpisové klíče útočníkům umožňují vydávat se za libovolného uživatele v cloudu společnosti Microsoft. | Zdroj: Wiz Research
Podle nejnovějších zjištění lze kompromitovaný podpisový klíč zneužít mnohem více než jen pro přístup k Exchange Online a Outlook.com.
Bezpečnostní výzkumníci dospěli k závěru, že jej lze použít k padělání přístupových tokenů pro několik typů aplikací využívajících Azure Active Directory, jako jsou SharePoint, Teams, OneDrive a další zákaznické aplikace, které používají funkci "Přihlásit se pomocí účtu Microsoft".
Pokud je to pravda, mohli se útočníci pohybovat v cloudu Microsoftu po celé týdny jako libovolný uživatel. Ačkoli Microsoft dotyčný podpisový klíč zablokoval už dříve, není jasné, co s ním útočníci v posledním období dělali a kde mohou být zadní vrátka.
Kdo je problémem dotčen?
V podstatě všichni uživatelé cloudu od Microsoftu by měli být ostražití. Platí to jak pro soukromé uživatele, tak pro firmy.
Ačkoli Microsoft tvrdí, že dotčeny jsou pouze služby Exchange Online a Outlook.com, bezpečnostní výzkumníci považují za ohroženou velkou část cloudu Microsoftu.
Názory Microsoftu a Wiz Research, kteří provedli analýzu rizika, se zásadně lišily i v dalších opatřeních. Zatímco Microsoft uvádí, že zákazníci nemusí dělat nic, výzkumníci doporučují prohledávat soubory protokolu HTTP a hledat konkrétní IP adresy. Wiz Research ve svém příspěvku na blogu vysvětluje, jak to udělat.
Problém se v podstatě týká i soukromých uživatelů, ale ti s tím nemohou nic moc dělat. Určitě ale neuškodí podívat se na přihlašovací aktivity účtu Microsoft. Přinejmenším je také vhodné odebrat připojená zařízení, která nelze přiřadit k účtu Microsoft a jsou podezřelá.
Kolem tohoto problému je ale stále příliš mnoho otazníků na to, aby rychle zmizel. I když by si to Microsoft jistě velmi přál.
Zdroj: Wiz
7 foto
