Китайский политический шпионаж? Выводы по взлому Майкрософт
Неделю назад APT-группой, которую ассоциируют с Китаем, известной как Storm-0558, был произведен взлом клиентов почтовой инфраструктуры Майкрософт. И судя по описанному ниже, подтекст у этой истории чисто политический.
Что известно на данный момент?
- Были взломаны 25 организаций, использующих почту через OWA (Outlook Web Acccess) и Outlook.com. Основными целями атаки были дипломатические и экономические структуры США и ЕС, предположительно работающие в тесной связке с Тайванем.
- Доступ к их ящикам электронной почты был получен через ранее неизвестную уязвимость подписи токенов Azure AD. Никто не предполагал, что неактивным ключем MSA(!) можно подписать подобные токены и получить доступ. Сейчас уязвимость устранена, подобная подпись не будет считаться валидной для почтовых сервисов.
- Каким образом злоумышленники получили ключ подписи до сих пор неизвестно. Подпись аннулирована.
- Майкрософт продолжают расследование.
А вот теперь выводы из всего этого:
0day это далеко не всегда инъекция/переполнение буфера и подобное. Если вендоры вам говорят, что некие WAF/NGFW помогут вам избежать эксплуатации 0day, то далеко не всех и не всегда. В каком случае они точно не помогут?
С уязвимостями логики приложения! Подобные уязвимости не найти техническими средствами, только человек может понять, что здесь что-то не так.
Что подпись этим ключем не должна быть валидна для другого сервиса, как в случае с Майкрософт.
Поэтому доверяйте проверку ваших сервисов профессионалам. Если даже у Майкрософт возникла такая проблема, то что уж говорить про сервисы меньшего размера?
А приложенная картинка ... ну, так нейросетка видит один легендарный объект китайского фольклора,который китайское правительство регулярно использует после очередных обвинений в хакерских атаках.
Неделю назад APT-группой, которую ассоциируют с Китаем, известной как Storm-0558, был произведен взлом клиентов почтовой инфраструктуры Майкрософт. И судя по описанному ниже, подтекст у этой истории чисто политический.
Что известно на данный момент?
- Были взломаны 25 организаций, использующих почту через OWA (Outlook Web Acccess) и Outlook.com. Основными целями атаки были дипломатические и экономические структуры США и ЕС, предположительно работающие в тесной связке с Тайванем.
- Доступ к их ящикам электронной почты был получен через ранее неизвестную уязвимость подписи токенов Azure AD. Никто не предполагал, что неактивным ключем MSA(!) можно подписать подобные токены и получить доступ. Сейчас уязвимость устранена, подобная подпись не будет считаться валидной для почтовых сервисов.
- Каким образом злоумышленники получили ключ подписи до сих пор неизвестно. Подпись аннулирована.
- Майкрософт продолжают расследование.
А вот теперь выводы из всего этого:
0day это далеко не всегда инъекция/переполнение буфера и подобное. Если вендоры вам говорят, что некие WAF/NGFW помогут вам избежать эксплуатации 0day, то далеко не всех и не всегда. В каком случае они точно не помогут?
С уязвимостями логики приложения! Подобные уязвимости не найти техническими средствами, только человек может понять, что здесь что-то не так.
Что подпись этим ключем не должна быть валидна для другого сервиса, как в случае с Майкрософт.
Поэтому доверяйте проверку ваших сервисов профессионалам. Если даже у Майкрософт возникла такая проблема, то что уж говорить про сервисы меньшего размера?
А приложенная картинка ... ну, так нейросетка видит один легендарный объект китайского фольклора,который китайское правительство регулярно использует после очередных обвинений в хакерских атаках.