Přejít k hlavnímu obsahu

Microsoft má problém: kyberzločinci ukradli podpisový klíč – může to mít dalekosáhlé následky

Jiří Palyza 10.08.2023
info ikonka
Zdroj:

Za krádeží bezpečnostního klíče Microsoftu pravděpodobně stojí čínští hackeři. Zpočátku to vypadalo jen na ohrožení služby Exchange Online, ale po nové analýze se zdá, že je ohrožen téměř celý cloud Microsoftu.

Kapitoly článku

Společnosti Microsoft a CISA nedávno zveřejnily bezpečnostní incident, který se dotkl několika zákazníků služeb Exchange Online a Outlook.com.

Podle Microsoftu tento problém vznikl v důsledku útoku Storm-0558, připisovaného aktérům z Číny. Došlo ke zcizení soukromého šifrovacího klíče a jeho následného zneužití k padělání přístupových tokenů pro Outlook Web Access (OWA) a Outlook.com. Navíc se strůjce útoku údajně zaměřil na dvě bezpečnostní chyby v ověřovacích procesech Microsoft tokenů.

Už v polovině června si americké úřady všimly neobvyklých událostí na svých online účtech Exchange. Společnost Microsoft se problémem zabývala a podle vlastních informací přijala rozsáhlá opatření, aby postižené zákazníky informovala a útoky zastavila. Dotčené služby Exchange Online a Outlook.com jsou už údajně bezpečné a uživatelé se nemusí ničeho obávat.

Problém ale může být mnohem hlubší. Podezřelí čínští útočníci dokázali ukrást podpisový klíč, který použili k získání přístupu ke službě Microsoft Exchange. Podle aktuální bezpečnostní analýzy bylo možné získat přístup i k dalším cloudovým službám Microsoftu.

Klíč k téměř všem cloudovým službám Microsoftu?

wiz

Ukradené podpisové klíče útočníkům umožňují vydávat se za libovolného uživatele v cloudu společnosti Microsoft. | Zdroj: Wiz Research

Podle nejnovějších zjištění lze kompromitovaný podpisový klíč zneužít mnohem více než jen pro přístup k Exchange Online a Outlook.com.

Bezpečnostní výzkumníci dospěli k závěru, že jej lze použít k padělání přístupových tokenů pro několik typů aplikací využívajících Azure Active Directory, jako jsou SharePoint, Teams, OneDrive a další zákaznické aplikace, které používají funkci "Přihlásit se pomocí účtu Microsoft".

Pokud je to pravda, mohli se útočníci pohybovat v cloudu Microsoftu po celé týdny jako libovolný uživatel. Ačkoli Microsoft dotyčný podpisový klíč zablokoval už dříve, není jasné, co s ním útočníci v posledním období dělali a kde mohou být zadní vrátka.

Kdo je problémem dotčen?

V podstatě všichni uživatelé cloudu od Microsoftu by měli být ostražití. Platí to jak pro soukromé uživatele, tak pro firmy.

Ačkoli Microsoft tvrdí, že dotčeny jsou pouze služby Exchange Online a Outlook.com, bezpečnostní výzkumníci považují za ohroženou velkou část cloudu Microsoftu.

Názory Microsoftu a Wiz Research, kteří provedli analýzu rizika, se zásadně lišily i v dalších opatřeních. Zatímco Microsoft uvádí, že zákazníci nemusí dělat nic, výzkumníci doporučují prohledávat soubory protokolu HTTP a hledat konkrétní IP adresy. Wiz Research ve svém příspěvku na blogu vysvětluje, jak to udělat.

Problém se v podstatě týká i soukromých uživatelů, ale ti s tím nemohou nic moc dělat. Určitě ale neuškodí podívat se na přihlašovací aktivity účtu Microsoft. Přinejmenším je také vhodné odebrat připojená zařízení, která nelze přiřadit k účtu Microsoft a jsou podezřelá.

Kolem tohoto problému je ale stále příliš mnoho otazníků na to, aby rychle zmizel. I když by si to Microsoft jistě velmi přál.

Zdroj: Wiz


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme