Buzz
Kịch bản của những sai lầm đã giúp Hacker do Trung Quốc hậu thuẫn đánh cắp Chìa khóa Ký của Microsoft
Trong tháng Sáu, Microsoft thông báo rằng một nhóm hacker do Trung Quốc hậu thuẫn đã đánh cắp một chìa khóa mật mã từ hệ thống của công ty. Chìa khóa này cho phép những kẻ tấn công truy cập vào hệ thống email Outlook dựa trên đám mây của 25 tổ chức, trong đó có nhiều cơ quan chính phủ Hoa Kỳ. Tuy nhiên, vào thời điểm công bố, Microsoft không giải thích được làm thế nào những hacker có thể đe dọa một chìa khóa nhạy cảm và được bảo vệ chặt chẽ như vậy, hoặc làm thế nào họ có thể sử dụng chìa khóa đó để di chuyển giữa các hệ thống tiêu dùng và doanh nghiệp. Nhưng một bài phân tích sau sự cố được công bố vào thứ Tư giải thích một chuỗi những sai lầm và sơ suất đã tạo điều kiện cho cuộc tấn công không tưởng.
Các chìa khóa mật mã như vậy có ý nghĩa lớn trong cơ sở hạ tầng đám mây vì chúng được sử dụng để tạo ra “token” xác thực chứng minh danh tính người dùng để truy cập dữ liệu và dịch vụ. Microsoft nói rằng họ lưu trữ những chìa khóa nhạy cảm này trong một “môi trường sản xuất” cách ly và kiểm soát truy cập nghiêm ngặt. Nhưng trong một sự cố hệ thống cụ thể vào tháng 4 năm 2021, chìa khóa liên quan đã là một con nhện vô tình trong một bộ nhớ đệm dữ liệu đã vượt ra khỏi khu vực được bảo vệ.
“Tất cả những phương pháp hack xuất sắc nhất đều là do hàng nghìn cắt giấy, không phải là một lỗ hổng duy nhất và sau đó có tất cả mọi thứ,” nói Jake Williams, một hacker trước đây của Cơ quan An ninh Quốc gia Hoa Kỳ, hiện nay là giảng viên tại Viện An ninh Mạng Ứng dụng.
Sau vụ tai nạn chết người của một hệ thống ký tên tiêu dùng, chìa khóa mật mã đã xuất hiện trong một “bộ nhớ đệm sự cố” tự động về dữ liệu về những gì đã xảy ra. Hệ thống của Microsoft được thiết kế để không để chìa khóa ký và các dữ liệu nhạy cảm khác xuất hiện trong bộ nhớ đệm sự cố, nhưng chìa khóa này trượt qua vì một lỗi. Còn tồi tệ hơn, các hệ thống được xây dựng để phát hiện dữ liệu sai lầm trong bộ nhớ đệm sự cố đã không ghi chú chìa khóa mật mã.
Với bộ nhớ đệm sự cố có vẻ được kiểm tra và xác nhận, nó được chuyển từ môi trường sản xuất sang một “môi trường gỡ lỗi” của Microsoft, một loại khu vực kiểm tra và xem xét liên quan đến mạng lưới doanh nghiệp thông thường của công ty. Tuy nhiên, một lần nữa, quét được thiết kế để phát hiện sự bao gồm ngẫu nhiên của thông tin đăng nhập đã không phát hiện ra sự hiện diện của chìa khóa trong dữ liệu.
Sau mọi sự kiện này diễn ra vào tháng 4 năm 2021, nhóm gián điệp Trung Quốc, mà Microsoft gọi là Storm-0558, đã xâm nhập vào tài khoản doanh nghiệp của một kỹ sư Microsoft. Theo Microsoft, tài khoản của kỹ sư đó đã bị xâm phạm với một mã truy cập đánh cắp được từ một máy bị nhiễm malware, tuy nhiên, họ không chia sẻ cách nhiễm bệnh này xảy ra.
Với tài khoản này, những kẻ tấn công có thể truy cập môi trường gỡ lỗi nơi bộ nhớ đệm sự cố và chìa khóa không may đã được lưu trữ. Microsoft nói rằng họ không còn bản ghi từ thời kỳ này trực tiếp cho thấy tài khoản bị xâm phạm đang đưa ra bộ nhớ đệm sự cố, “nhưng đây là cơ chế phổ biến nhất mà kẻ tấn công sử dụng để có được chìa khóa.” Với sự phát hiện quan trọng này, những kẻ tấn công đã có thể bắt đầu tạo ra các token truy cập tài khoản Microsoft hợp lệ.
Một câu hỏi khác chưa được giải đáp về sự cố là làm thế nào những kẻ tấn công sử dụng một chìa khóa mật mã từ bản ghi sự cố của hệ thống ký tên tiêu dùng để xâm nhập vào tài khoản email doanh nghiệp của tổ chức như các cơ quan chính phủ. Microsoft cho biết vào thứ Tư rằng điều này có thể xảy ra do một lỗ hổng liên quan đến giao diện lập trình ứng dụng mà công ty đã cung cấp để giúp hệ thống của khách hàng xác minh chữ ký mật mã. API chưa được cập nhật đầy đủ với thư viện sẽ xác minh liệu hệ thống có nên chấp nhận các token được ký bằng chìa khóa tiêu dùng hay chìa khóa doanh nghiệp, và do đó, nhiều hệ thống có thể bị đánh lừa để chấp nhận cả hai.
Công ty nói rằng họ đã sửa tất cả các lỗi và sơ suất đã làm lộ chìa khóa trong môi trường gỡ lỗi và cho phép nó ký token sẽ được chấp nhận bởi hệ thống doanh nghiệp. Nhưng tóm tắt của Microsoft vẫn chưa mô tả đầy đủ cách những kẻ tấn công đã xâm phạm tài khoản doanh nghiệp của kỹ sư—như làm thế nào phần mềm độc hại có khả năng đánh cắp mã truy cập của một kỹ sư đã xuất hiện trên mạng của họ—và Microsoft không ngay lập tức trả lời yêu cầu của MYTOUR để biết thêm thông tin.
Việc Microsoft giữ các bản ghi hạn chế trong khoảng thời gian này là quan trọng, theo nhà nghiên cứu an ninh độc lập Adrian Sanabria. Là một phần của phản ứng của họ trước cuộc tấn công của Storm-0558 nói chung, công ty cho biết vào tháng 7 rằng họ sẽ mở rộng khả năng ghi chú của đám mây mà họ cung cấp miễn phí. “Điều đáng chú ý, đặc biệt là vì một trong những khiếu nại về Microsoft là họ không thiết lập khách hàng của mình để đạt được thành công về an ninh,” Sanabria nói. “Log được tắt mặc định, tính năng bảo mật là một phần bổ sung đòi hỏi chi phí bổ sung, hoặc là giấy phép cao cấp hơn. Có vẻ như chính họ đã bị ảnh hưởng bởi thực hành này.”
Như Jake Williams từ Viện An ninh Mạng Ứng dụng chỉ ra, các tổ chức như Microsoft phải đối mặt với những kẻ tấn công có động cơ cao và nguồn lực đủ để tận dụng những sai lầm khó hiểu nhất hoặc không thể tin được nhất. Anh nói rằng sau khi đọc các cập nhật mới nhất của Microsoft về tình hình, anh cảm thấy đồng情 với lý do tại sao tình hình diễn ra như vậy.
“Bạn chỉ sẽ nghe về những cuộc tấn công rất phức tạp như thế này trong một môi trường như Microsoft's,” anh ấy nói. “Trong bất kỳ tổ chức nào khác, bảo mật tương đối yếu đuối đến nỗi một cuộc tấn công không cần phải phức tạp. Và ngay cả khi môi trường khá an toàn, chúng thường thiếu dữ liệu telemetric—cùng với việc giữ lại—cần thiết để điều tra một cái gì đó như thế này. Microsoft là một tổ chức hiếm hoi có cả hai. Hầu hết các tổ chức sẽ không lưu trữ các bản ghi như vậy trong vài tháng, nên tôi ấn tượng rằng họ có nhiều dữ liệu telemetric như họ đã có.”
Cập nhật 9:55 sáng, ngày 7 tháng 9, 2023: Thêm thông tin mới về cách kẻ tấn công đã xâm phạm tài khoản của một kỹ sư Microsoft, từ đó có thể đánh cắp chìa khóa ký.
