En Rube Goldberg-kjede av feil førte til brudd på e-poster fra myndighetene fra Microsoft
I første halvdel av juli avslørte Microsoft at den kinesiske hackergruppen Storm-0558 hadde fått tilgang til e-poster fra rundt 25 organisasjoner, inkludert byråer i den amerikanske regjeringen. I dag forklarer selskapet hvordan det skjedde takket være en rekke interne feil, samtidig som det understreker skarpt hvor alvorlig et ansvar det er å opprettholde massiv, voksende programvareinfrastruktur i en stadig mer digitalt usikker verden.
I følge Microsofts undersøkelsesoppsummering var Storm-0558 i stand til å få tilgang til bedrifts- og myndighets-e-poster ved å skaffe en “Microsoft-kontoforbrukernøkkel”, som lot dem opprette tilgangstokener til målenes kontoer.
Storm-0558 fikk nøkkelen etter at en serie hendelser i maskinstil av Rube Goldberg satte nøkkelen et sted den aldri burde vært i utgangspunktet. Selskapet skriver at da systemet laget et feilsøkingsøyeblikksbilde av en prosess som hadde krasjet, fjernet det ikke, som det burde, den såkalte «crash dump» av all sensitiv informasjon, og la nøkkelen igjen.
Microsofts systemer skulle fortsatt ha oppdaget “nøkkelmaterialet” i krasjdumpen, men det gjorde de tilsynelatende ikke. Så da selskapets ingeniører fant dumpen, antok de at den var fri for sensitive data og overførte den, nøkkel og alt, fra det “isolerte produksjonsnettverket” til selskapets feilsøkingsmiljø.
Så savnet en annen feilsikker – en legitimasjonsskanning som også burde ha fanget nøkkelen – at nøkkelen var der. Den endelige porten falt da Storm-0558 klarte å kompromittere en Microsoft-ingeniørs bedriftskonto, og ga hackerne tilgang til selve feilsøkingsmiljøet som aldri skulle ha hatt nøkkelen til å begynne med.
Microsoft skriver at de ikke har noen logger som viser bevis på at dette er hvordan nøkkelen ble stokket ut av systemene, men sier at det er det “mest sannsynlige” ruten hackerne tok.
Det er en siste kicker: dette var en forbruker nøkkel, men det lar trusselaktører komme inn på Microsoft-bedriftskontoer. Microsoft sier at de begynte å bruke felles nøkkelmetadatapublisering i 2018 som svar på etterspørselen etter støtteprogramvare som fungerte på tvers av både forbruker- og bedriftskontoer.
Selskapet la til denne støtten, men det klarte ikke å gjøre de riktige oppdateringene til systemene som ble brukt til å autentisere nøkler – det vil si å avgjøre om de er forbrukernøkler eller bedriftsnøkler. E-postsystemingeniører, forutsatt at oppdateringene var gjort, innebygde ingen ekstra autentisering, noe som forlot e-postsystemet blindt for hva slags nøkkel som ble brukt.
Kort sagt, hadde disse bibliotekene blitt oppdatert riktig, til og med gitt alle de andre feilpunkteneStorm-0558-hackere har kanskje ikke hatt tilgang til bedriftens e-postkontoer som brukes av selskapene de målrettet mot.
Microsoft sier at de har rettet opp alle problemene ovenfor, inkludert feilen som sendte signeringsnøkkelen til krasjdumpen i utgangspunktet. Selskapet legger til i sitt innlegg at det er “kontinuerlig herding av systemer.” Microsoft har i økende grad kommet under ild for sin sikkerhetspraksis, som både senator Ron Wyden (D-OR) og Tenable-sjef Amit Yoran har kalt “uaktsom”, med Yoran som anklager Microsoft for å være for trege til å reagere på sikkerhetsfeilene.