- บทความนี้กล่าวถึงผลการตรวจสอบทางเทคนิคของ Microsoft ว่าองค์ประกอบภัยคุกคามที่มีฐานอยู่ในจีนอย่าง Storm-0558 ได้คีย์ผู้ใช้ Microsoft Account (MSA) มาได้อย่างไร เพื่อนำไปปลอมแปลงโทเค็นและเข้าถึง OWA กับ Outlook.com
- Microsoft รักษาสภาพแวดล้อมการผลิตที่ปลอดภัยและแยกออกอย่างเข้มงวดเพื่อควบคุมการเข้าถึงของพนักงาน ซึ่งรวมถึงการตรวจสอบประวัติ บัญชีเฉพาะ เวิร์กสเตชันสำหรับการเข้าถึงที่ปลอดภัย และการยืนยันตัวตนหลายปัจจัยโดยใช้อุปกรณ์ฮาร์ดแวร์โทเค็น
- ในเดือนเมษายน 2021 เกิดการล่มของระบบขึ้นและมีการสร้างสแนปช็อตของกระบวนการล่ม ซึ่งเนื่องจาก race condition ทำให้มีคีย์สำหรับการลงนามรวมอยู่ด้วย ปัญหานี้ได้รับการแก้ไขในภายหลัง
- crash dump ซึ่งเคยเชื่อกันว่าไม่มี key material ได้ถูกย้ายจากเครือข่ายการผลิตแบบแยกส่วนไปยังสภาพแวดล้อมดีบักบนเครือข่ายองค์กรที่เชื่อมต่ออินเทอร์เน็ต ตามกระบวนการดีบักมาตรฐาน
- องค์ประกอบ Storm-0558 สามารถยึดบัญชีองค์กรของวิศวกร Microsoft ที่เข้าถึงสภาพแวดล้อมดีบักซึ่งมี crash dump ที่รวมคีย์ไว้ได้
- คีย์ฝั่งผู้ใช้ทั่วไปสามารถใช้เข้าถึงอีเมลองค์กรได้ เนื่องจากมี common key metadata publishing endpoint ที่เปิดใช้มาตั้งแต่เดือนกันยายน 2018 เพื่อรองรับแอปพลิเคชันที่ทำงานร่วมกับทั้งแอปผู้ใช้ทั่วไปและแอปองค์กร
- นักพัฒนาของระบบเมลเข้าใจผิดว่าไลบรารีทำการตรวจสอบอย่างสมบูรณ์แล้ว จึงไม่ได้เพิ่มการตรวจสอบ issuer/scope ที่จำเป็น ส่งผลให้ระบบเมลยอมรับคำขออีเมลองค์กรที่ใช้ security token ซึ่งลงนามด้วยคีย์ฝั่งผู้ใช้ทั่วไป ปัญหานี้ได้รับการแก้ไขแล้ว
- Microsoft ยังคงเสริมความแข็งแกร่งให้ระบบอย่างต่อเนื่องในฐานะส่วนหนึ่งของกลยุทธ์ defense in depth โดยการปรับปรุงที่เจาะจงต่อสิ่งที่ค้นพบครั้งนี้ ได้แก่ การแก้ race condition ที่ทำให้คีย์ลงนามถูกรวมอยู่ใน crash dump การเสริมการป้องกัน การตรวจจับ และการตอบสนองต่อ key material ที่ถูกใส่ผิดพลาดใน crash dump การเพิ่มการสแกนข้อมูลรับรองเพื่อให้ตรวจจับการมีอยู่ของคีย์ลงนามในสภาพแวดล้อมดีบักได้ดีขึ้น และการออกไลบรารีที่ปรับปรุงแล้วซึ่งทำให้การตรวจสอบขอบเขตของคีย์ในไลบรารีการยืนยันตัวตนเป็นแบบอัตโนมัติ
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News