Storm-0558 द्वारा key हासिल करने की तकनीकी जांच के परिणाम

 (msrc.microsoft.com)
1 पॉइंट द्वारा GN⁺ 2023-09-07 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • यह लेख Microsoft की तकनीकी जांच के नतीजों पर चर्चा करता है कि चीन-आधारित threat actor Storm-0558 ने कैसे Microsoft account (MSA) consumer key हासिल की, token forge किए, और OWA व Outlook.com तक पहुंच बनाई.
  • Microsoft कर्मचारियों की access को नियंत्रित करने के लिए अत्यधिक सुरक्षित और अलग-थलग production environment बनाए रखता है, जिसमें background checks, dedicated accounts, secure access workstations, और hardware token devices के साथ multi-factor authentication शामिल हैं.
  • अप्रैल 2021 में system crash हुआ, जिससे crash process का snapshot बना, और race condition के कारण उसमें signing key शामिल हो गई. इस समस्या को बाद में ठीक कर दिया गया.
  • crash dump, जिसके बारे में माना गया था कि उसमें key material शामिल नहीं है, standard debugging process के अनुसार isolated production network से internet-connected corporate network के debugging environment में ले जाया गया.
  • Storm-0558 actor Microsoft engineer के corporate account से समझौता करने में सक्षम था, जिसे उस debugging environment तक access थी जहां key शामिल crash dump मौजूद था.
  • consumer key सितंबर 2018 में शुरू किए गए common key metadata publishing endpoint के कारण enterprise mail तक पहुंच बना सकी. इसका उद्देश्य उन applications का समर्थन करना था जो consumer और enterprise applications दोनों के साथ काम करती हैं.
  • mail system के developers ने गलत तरीके से मान लिया कि library पूरी validation करती है और आवश्यक issuer/scope validation नहीं जोड़ी, इसलिए mail system ने consumer key से signed security tokens का उपयोग करने वाले enterprise email requests स्वीकार कर लिए. इस समस्या को ठीक कर दिया गया.
  • Microsoft defense-in-depth strategy के हिस्से के रूप में अपने systems को लगातार मजबूत कर रहा है. इन निष्कर्षों के लिए विशेष सुधारों में वह race condition ठीक करना शामिल है जिसने signing key को crash dump में शामिल होने दिया, crash dump में गलती से शामिल key material के लिए prevention, detection और response को मजबूत करना, debugging environment में signing key की मौजूदगी को बेहतर ढंग से पहचानने के लिए credential scanning को सुदृढ़ करना, और authentication library में key scope validation को automate करने वाली enhanced library जारी करना शामिल है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-09-07
Hacker News राय
  • Storm-0558 key हासिल करने में हुई गंभीर विफलता पर लेख
  • एक दुर्लभ race condition के कारण अप्रत्याशित परिणाम से हुई विफलता
  • compromised key पुरानी थी और इसे केवल consumer email accounts तक पहुंच देनी चाहिए थी, लेकिन bug के कारण enterprise email accounts पर भी इसकी अनुमति मिल गई
  • लेख का संकेत है कि हमलावर को Microsoft के internal infrastructure की गहरी समझ थी
  • breach की timeline को लेकर चिंता, क्योंकि संदेह है कि credentials का समझौता detect और disclose होने से 2 साल से अधिक समय पहले हुआ था
  • forged tokens की संख्या और access किए गए data की सीमा सार्वजनिक नहीं की गई, जिससे breach की गंभीरता पर सवाल उठते हैं
  • ऐसे breach को रोकने के लिए बार-बार key rotation की आवश्यकता पर लेख जोर देता है
  • key का non-recoverable hardware में store न होना और उसका सामान्य server process से उपलब्ध होना संभावित security flaw की ओर इशारा करता है
  • key material के leakage को रोकने के लिए hardware security modules (HSMs) के उपयोग की कमी पर आलोचना
  • लेख यह बताता है कि Microsoft के access token validation section में issuer date या revocation check का कोई उल्लेख नहीं है
  • breach के दौरान two-factor authentication या अन्य अतिरिक्त authentication methods bypass हुए या नहीं, इस पर अनिश्चितता
  • लेख का अंत इस सवाल के साथ होता है कि क्या हमले के दौरान email निकाले जाने का कोई ज्ञात dump था