Хакер #305. Многошаговые SQL-инъекции
Сенатор от штата Орегон Рон Уайден(Ron Wyden) заявил, чтобы правительство США должно возложить на Microsoft ответственность за «небрежное отношение к кибербезопасности», в результате которого китайская кибершпионскя хак-группа сумела взломать американские власти.
Свою резкую критику в адрес Micosoft Уайден облек в письмо, направленное генеральному прокурору США Меррику Гарланду, а также главам Агентства по кибербезопасности и защите инфраструктуры США (CISA) и Федеральной торговой комиссии (FTC).
В письме Уайден заявляет, что софтверный гигант «несет значительную ответственность» за недавний масштабный взлом, который начался с кражи у компании криптографического ключа MSA (Microsoft account consumer signing key).
«Поскольку хакеры похитили ключ шифрования MSA, они смогли создать поддельные токены аутентификации, чтобы выдать себя за пользователей и получить доступ к клиентским учетным записям, размещенным на серверах Microsoft, даже если учетная запись пользователя была защищена многофакторной аутентификацией и надежным паролем. Из-за очередной ошибки Micosoft была украдена правительственная электронная почта», — подчеркивает сенатор.
Напомню, что речь идет о краже ключа MSA и атаке на Exchange Online и Azure Active Directory (AD), от которой пострадали более 25 десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы.
В середине июля стало известно, что еще в мае злоумышленникам из китайской хак-группы Storm-0558 удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений пока не были раскрыты. Известно лишь, что в числе пострадавших числятся Госдеп США и Министерство торговли страны.
Как объясняли в Microsoft, для этой атаки злоумышленники использовали токены аутентификации, подделанные с помощью криптографического ключа MSA, который используется для подписания токенов. Благодаря 0-day проблеме, связанной с валидацией в GetAccessTokenForResourceAPI, хакеры смогли подделать чужие подписанные токены Azure Active Directory (Azure AD или AAD) и выдать себя за своих жертв.
Хуже того, теперь ИБ-специалисты утверждают, что утечка криптографического ключа может иметь даже более серьезные последствия и оказывать влияние на все приложения Azure AD, работающие с Microsoft OpenID v2.0.
При этом в Microsoft до сих пор не сообщили, как именно такой важный ключ MSA вообще оказался в руках хакеров.
По словам сенатора Уайдена, Microsoft никогда не признавала, что ее продукты сыграли определенную роль в ходе компрометации SolarWinds, вместо этого обвиняя госорганы и клиентов, а также используя ситуацию для продвижения Azure AD.
Также сенатор отмечает, что теперь Microsoft публично хвастается тем, что кибербезопасность приносит компании порядка 20 млрд долларов дохода в год, и призывает правительство приложить все усилия, что привлечь Microsoft к ответственности за халатное отношение к кибербезопасности.
Уайден убежден, что CISA должно получить поручить Наблюдательному совету по кибербезопасности (CSRB) расследовать недавний инцидент и выяснить, использовала ли Microsoft HSM (Hardware security module) для хранения украденного ключа шифрования, что является прямой рекомендацией АНБ.