Một loạt các sự cố không thành công đã dẫn đến việc xâm nhập vào email doanh nghiệp được lưu trữ bởi Microsoft
Trong nửa đầu tháng 7, Microsoft đã tiết lộ rằng nhóm hacker Trung Quốc, Storm-0558, đã có được quyền truy cập vào email từ khoảng 25 tổ chức, bao gồm các cơ quan trong chính phủ Mỹ. Hôm nay, công ty đang giải thích cách điều đó đã xảy ra nhờ vào một loạt các lỗi nội bộ trong khi nhấn mạnh mức độ nghiêm trọng của việc duy trì hạ tầng phần mềm khổng lồ đang phát triển trong một thế giới ngày càng không an toàn về mặt số hóa.
Theo tường thuật điều tra của Microsoft, Storm-0558 đã có thể truy cập vào email của công ty và cơ quan chính phủ bằng cách lấy “mã thông báo truy cập tài khoản người tiêu dùng Microsoft”, cho phép họ tạo mã thông báo truy cập vào tài khoản mục tiêu.
Storm-0558 đã có được mã thông báo sau khi một chuỗi sự kiện theo kiểu Rube Goldberg đã đặt mã nơi nó không bao giờ nên có. Công ty viết rằng khi hệ thống tạo một bản chụp “debugging” (gỡ lỗi) của một quá trình đã gặp sự cố, nó đã không loại bỏ, như nên làm, các thông tin nhạy cảm trong “crash dump”, để lại mã nơi đó.
Hệ thống của Microsoft vẫn nên phát hiện ra “nguyên liệu mã” trong “crash dump”, nhưng dường như họ không làm được điều đó. Vì vậy, khi các kỹ sư của công ty tìm thấy “dump”, họ cho rằng nó không chứa dữ liệu nhạy cảm và chuyển nó, kèm theo mã, từ “mạng sản xuất được cách ly” sang môi trường gỡ lỗi của công ty.
Sau đó, một hệ thống chống lỗi khác – quét thông tin chứng chỉ – đã bỏ qua việc nhận biết rằng mã đang ở đó. Cổng cuối cùng mở ra khi Storm-0558 đã xâm nhập vào tài khoản doanh nghiệp của một kỹ sư Microsoft, cho phép hacker truy cập vào môi trường gỡ lỗi mà không bao giờ nên chứa mã ban đầu.
Microsoft viết rằng không có bất kỳ log nào cho thấy cách mã đã rời khỏi hệ thống của họ, nhưng cho biết đó là con đường “có khả năng cao nhất” mà hacker đã sử dụng.
Còn một thông tin cuối cùng: đây là một mã “người tiêu dùng”, nhưng nó cho phép những kẻ đe dọa xâm nhập vào tài khoản doanh nghiệp của Microsoft. Microsoft cho biết họ đã bắt đầu sử dụng công khai thông tin khóa chung từ năm 2018 để đáp ứng yêu cầu hỗ trợ phần mềm hoạt động trên cả tài khoản người tiêu dùng và doanh nghiệp.
Công ty cho biết họ đã thêm vào hỗ trợ đó, nhưng không thực hiện các cập nhật phù hợp cho các hệ thống được sử dụng để xác thực mã – tức là xác định liệu đó có phải là mã người tiêu dùng hay mã doanh nghiệp. Kỹ sư hệ thống thư điện tử, cho rằng các bản cập nhật đã được thực hiện, không tích hợp xác thực bổ sung nào khác, khiến hệ thống thư không biết loại mã nào được sử dụng.
Tóm lại, nếu thư viện đó đã được cập nhật đúng cách, ngay cả khi có tất cả các điểm thất bại khác, các hacker của Storm-0558 có thể không thể truy cập được vào các tài khoản email doanh nghiệp được sử dụng bởi các công ty mà họ nhắm đến.
Microsoft cho biết họ đã khắc phục tất cả các vấn đề trên, bao gồm cả lỗi gửi mã chữ ký vào crash dump ban đầu. Công ty cũng cho biết trong bài đăng của họ rằng họ đang “liên tục tăng cường hệ thống”. Microsoft ngày càng gặp nhiều chỉ trích vì các phương pháp bảo mật của mình, mà cả Thượng nghị sĩ Ron Wyden (D-OR) và CEO của Tenable, Amit Yoran, đã gọi là “sơ suất”, và Yoran đã chỉ trích Microsoft là “quá chậm” trong việc khắc phục những lỗ hổng bảo mật.
In the first half of July, Microsoft disclosed that the Chinese hacking group Storm-0558 had gained access to emails from around 25 organizations, including agencies in the US government. Today, the company is explaining how that happened thanks to a series of internal errors while sharply underscoring just how serious a responsibility it is to maintain massive, growing software infrastructure in an increasingly digitally insecure world.
According to Microsoft’s investigation summary, Storm-0558 was able to gain access to corporate and government emails by obtaining a “Microsoft account consumer key,” which let them create access tokens to their targets’ accounts.
Storm-0558 obtained the key after a Rube Goldberg machine-style series of events put the key somewhere it should never have been in the first place. The company writes that when the system made a debugging snapshot of a process that had crashed, it didn’t strip, as it should have, the so-called “crash dump” of all sensitive information, leaving the key in.
Microsoft’s systems still should have detected the “key material” in the crash dump, but apparently, they didn’t. So when company engineers found the dump, they assumed it was free of sensitive data and transferred it, key and all, from the “isolated production network” to the company’s debugging environment.
Then another fail-safe — a credential scan that should have also caught the key — missed that the key was there. The final gate fell when Storm-0558 managed to compromise a Microsoft engineer’s corporate account, giving the hackers access to the very debugging environment that never should have had the key to begin with.
Microsoft writes that it has no logs showing evidence this is how the key was shuffled out of its systems but says it’s the “most probable” route the hackers took.
There’s one final kicker: this was a consumer key, but it let threat actors get into enterprise Microsoft accounts. Microsoft says it began using common key metadata publishing in 2018 in response to demand for support software that worked across both consumer and enterprise accounts.
The company added that support, but it failed to make the proper updates to the systems used to authenticate keys — that is, determine whether they’re consumer or enterprise keys. Mail system engineers, assuming the updates had been made, built in no additional authentication, leaving the mail system blind to what sort of key was used.
In short, had those libraries been updated properly, even given all the other failure points, Storm-0558 hackers might not have been able to access the enterprise email accounts used by the corporations they targeted.
Microsoft says it has corrected all of the issues above, including the error that sent the signing key to the crash dump in the first place. The company adds in its post that it is “continuously hardening systems.” Microsoft has increasingly come under fire for its security practices, which both Senator Ron Wyden (D-OR) and Tenable CEO Amit Yoran have called “negligent,” with Yoran accusing Microsoft of being too slow to react to its security flaws.
