Microsoft zdradził, jak ukradziono mu klucz do Outlooka

W lipcu 2023 Microsoft zidentyfikował i opisał chiński atak na usługę Outlook, polegający na fałszowaniu tokenów uwierzytelniających do mechanizmu Konto Microsoft. Udostępniono właśnie szerokie wytłumaczenie, jak było ono możliwe.

Pierwszym źródłem problemu okazał się mechanizm zrzutu pamięci po awarii systemu. Zrzuty są powszechnie stosowane w celu bieżącej analizy problemów w działaniu produkcyjnym, są jednak zawsze oczyszczane z danych wrażliwych. Ponieważ dane takie nie są oddzielną kategorią informacji zawsze przechowywanych w taki sposób, bardzo łatwo o niekompletne oczyszczenie zrzutu z danych umożliwiających przechwycenie np. haseł i kluczy. Właśnie to wydarzyło się w Redmond: zrzut pamięci zawierał klucz.

Następnym czynnikiem umożliwiającym wyciek było sforsowanie jednego z kont korporacyjnych pracowników. Hipoteza zakłada, że zastosowano phishing lub wirusa kradnącego pęk poświadczeń, ale nie ma jednoznacznego dowodu na to, ze względu na brak logów - od zalogowania do wykrycia minęło zbyt wiele czasu i logi zostały usunięte. Krótki czas retencji jest częstym zjawiskiem.

Dalsza część artykułu pod materiałem wideo

Ostatnim elementem jest błędna walidacja. Mechanizm uwierzytelniania zezwalał na dostęp do kont korporacyjnych, jeżeli żądanie zostało podpisane kluczem konsumenckim. Choć różne kategorie kont miały wystawione różne klucze, dostęp do jednej kategorii był umożliwiany nawet, gdy poproszono o takowy za pomocą (poprawnego, ważnego) klucza przeznaczonego dla innej.

Zestawienie niniejszych braków i błędów otworzyło drogę do kradzieży klucza konsumenckiego i tworzenia falsyfikatów tokenów dostępowych do usług w Outlook.com. Choć było to ewidentne niedopatrzenie ze strony Microsoftu, realizacja takiej kradzieży i umiejętność skorzystania na niej wskazują na wysokie zaawansowanie techniczne przestępców oraz ściśle ukierunkowany atak. Microsoft poinformował, że wyżej wymienione słabości zostały usunięte.

Istotnym jest, jak dawno temu nastąpił wyciek. Brak logów ze zdarzenia istotnie brzmi nieprofesjonalnie i niemal zabawnie. Okazuje się jednak, że Microsoft był zdolny zidentyfikować w tym roku, podczas niecałych dwóch miesięcy badania, wysoce drobiazgowe szczegóły wycieku mającego miejsce... w kwietniu 2021. Zdolność organizacji do odkrycia, opisania i zabezpieczenia się przed atakiem mającym miejsce dwa lata wcześniej jest imponująca, wykazywana przez znacznie mniej podmiotów, niż się niektórym wydaje.