Hasil investigasi teknis atas perolehan kunci Storm-0558

 (msrc.microsoft.com)
1 poin oleh GN⁺ 2023-09-07 | 1 komentar | Bagikan ke WhatsApp
  • Artikel ini membahas hasil investigasi teknis Microsoft tentang bagaimana aktor ancaman berbasis Tiongkok, Storm-0558, memperoleh kunci konsumen Microsoft Account (MSA), memalsukan token, dan mengakses OWA serta Outlook.com.
  • Microsoft mempertahankan lingkungan produksi yang sangat aman dan terisolasi untuk mengendalikan akses karyawan, termasuk pemeriksaan latar belakang, akun khusus, workstation akses aman, dan autentikasi multi-faktor menggunakan perangkat token perangkat keras.
  • Pada April 2021, terjadi crash sistem yang menghasilkan snapshot dari proses crash tersebut, yang karena kondisi balapan turut memuat kunci penandatanganan. Masalah ini kemudian telah diperbaiki.
  • Crash dump yang diyakini tidak memuat material kunci dipindahkan dari jaringan produksi terisolasi ke lingkungan debugging di jaringan perusahaan yang terhubung ke internet sesuai proses debugging standar.
  • Aktor Storm-0558 dapat mengambil alih akun perusahaan milik seorang engineer Microsoft yang memiliki akses ke lingkungan debugging tempat crash dump yang berisi kunci tersebut berada.
  • Kunci konsumen dapat digunakan untuk mengakses email perusahaan karena endpoint penerbitan metadata kunci umum yang diperkenalkan pada September 2018. Ini dimaksudkan untuk mendukung aplikasi yang bekerja dengan aplikasi konsumen maupun perusahaan.
  • Para pengembang sistem email keliru mengasumsikan bahwa library melakukan validasi penuh dan tidak menambahkan validasi issuer/scope yang diperlukan, sehingga sistem email menerima permintaan email perusahaan menggunakan token keamanan yang ditandatangani dengan kunci konsumen. Masalah ini telah diperbaiki.
  • Microsoft terus memperkuat sistemnya sebagai bagian dari strategi defense-in-depth. Peningkatan yang secara khusus terkait dengan temuan ini mencakup penyelesaian kondisi balapan yang memungkinkan kunci penandatanganan masuk ke crash dump, pencegahan, deteksi, dan respons yang lebih kuat terhadap material kunci yang keliru masuk ke crash dump, peningkatan pemindaian kredensial untuk mendeteksi keberadaan kunci penandatanganan dengan lebih baik di lingkungan debugging, serta peluncuran library yang diperkuat untuk mengotomatiskan validasi scope kunci di library autentikasi.

Bacaan terkait

1 komentar

 
GN⁺ 2023-09-07
Komentar Hacker News
  • Artikel tentang kegagalan fatal dalam perolehan kunci Storm-0558
  • Kegagalan yang disebabkan oleh hasil tak terduga dari kondisi balapan yang langka
  • Kunci yang disusupi sudah lama dan seharusnya hanya memberikan akses ke akun email konsumen, tetapi karena bug juga diizinkan untuk akun email perusahaan
  • Saran dalam artikel bahwa penyerang memiliki pemahaman mendalam tentang infrastruktur internal Microsoft
  • Kekhawatiran tentang garis waktu pelanggaran, dengan dugaan bahwa kredensial telah dikompromikan selama lebih dari 2 tahun sebelum terdeteksi dan diungkapkan
  • Jumlah token palsu dan cakupan data yang diakses tidak diungkapkan, sehingga menimbulkan pertanyaan tentang tingkat keparahan pelanggaran
  • Artikel menekankan perlunya rotasi kunci yang sering untuk mencegah pelanggaran seperti ini
  • Fakta bahwa kunci tidak disimpan dalam perangkat keras yang tidak dapat dipulihkan dan tersedia untuk digunakan oleh proses server biasa mengisyaratkan potensi kelemahan keamanan
  • Kritik terhadap tidak digunakannya hardware security module (HSM) untuk mencegah kebocoran materi kunci
  • Artikel menunjukkan bahwa di bagian validasi access token Microsoft tidak ada penyebutan tentang tanggal penerbit atau pemeriksaan pencabutan
  • Ketidakpastian apakah autentikasi dua faktor atau metode autentikasi tambahan lainnya dilewati selama pelanggaran
  • Artikel diakhiri dengan pertanyaan apakah ada dump yang diketahui tempat email diekstraksi selama serangan