لكن بالضبط كيف يمكن سرقة مثل هذا المفتاح الحساس ، الذي يسمح بمثل هذا الوصول الواسع ، في المقام الأول لا يزال غير معروف. اتصلت WIRED بـ Microsoft ، لكن الشركة رفضت التعليق أكثر.
في ظل عدم وجود مزيد من التفاصيل من Microsoft ، فإن إحدى النظريات حول كيفية حدوث السرقة هي أن مفتاح توقيع الرمز المميز لم يُسرق في الواقع من Microsoft على الإطلاق ، وفقًا لما ذكره Tal Skverer ، الذي يقود البحث في Security Astrix ، الذي سبق هذا. كشف العام عن مشكلة أمان رمزية في سحابة Google. في الإعدادات القديمة لبرنامج Outlook ، تتم استضافة الخدمة وإدارتها على خادم مملوك من قبل العميل بدلاً من سحابة Microsoft. ربما سمح ذلك للمتسللين بسرقة المفتاح من أحد هذه الإعدادات “المحلية” على شبكة العميل.
بعد ذلك ، يقترح سكفيرر أن المتسللين ربما يكونون قادرين على استغلال الخطأ الذي سمح للمفتاح بتوقيع الرموز المميزة للمؤسسة للوصول إلى مثيل سحابة Outlook الذي تشاركه جميع المؤسسات الـ 25 التي تعرضت للهجوم. يقول سكفيرر: “أفضل تخميني هو أنهم بدأوا من خادم واحد ينتمي إلى إحدى هذه المؤسسات ، وانتقلوا إلى السحابة من خلال إساءة استخدام خطأ التحقق من الصحة ، ثم حصلوا على إمكانية الوصول إلى المزيد من المؤسسات التي تشارك نفس مثيل Outlook السحابي. “
لكن هذه النظرية لا توضح سبب استخدام خادم محلي لخدمة Microsoft داخل شبكة مؤسسة لمفتاح تصفه Microsoft على أنه مخصص لتوقيع الرموز المميزة لحساب المستهلك. كما أنه لا يفسر سبب مشاركة العديد من المؤسسات ، بما في ذلك الوكالات الحكومية الأمريكية ، في مثيل واحد من Outlook السحابي.
نظرية أخرى ، وهي نظرية أكثر إثارة للقلق ، هي أن مفتاح توقيع الرمز المميز الذي استخدمه المتسللون قد سُرق من شبكة Microsoft الخاصة ، وتم الحصول عليه عن طريق خداع الشركة لإصدار مفتاح جديد للمتسللين ، أو حتى إعادة إنتاجه بطريقة ما عن طريق استغلال الأخطاء في عملية التشفير التي تم إنشاؤها. بالاقتران مع خطأ التحقق من صحة الرمز الذي تصفه Microsoft ، قد يعني ذلك أنه كان من الممكن استخدامه لتوقيع الرموز المميزة لأي حساب سحابي في Outlook ، أو مستهلك أو مؤسسة — وهو مفتاح هيكلي لمجموعة كبيرة ، أو حتى كل ، سحابة Microsoft.
يقول الباحث الشهير في مجال أمان الويب ، روبرت “RSnake” هانسن ، إنه قرأ السطر الوارد في منشور Microsoft حول تحسين أمان “أنظمة إدارة المفاتيح” ليشير إلى أن “سلطة إصدار الشهادات” من Microsoft – وهي نظامها الخاص لإنشاء مفاتيح رموز التوقيع المشفرة – تم اختراقه بطريقة ما من قبل الجواسيس الصينيين. يقول هانسن: “من المحتمل جدًا أن يكون هناك عيب في البنية التحتية أو تكوين هيئة شهادات Microsoft التي أدت إلى اختراق شهادة حالية أو إنشاء شهادة جديدة”.
إذا قام المتسللون بالفعل بسرقة مفتاح توقيع يمكن استخدامه لتزوير الرموز على نطاق واسع عبر حسابات المستهلكين – وبفضل مشكلة التحقق من صحة الرمز من Microsoft ، على حسابات المؤسسات أيضًا – فقد يكون عدد الضحايا أكبر بكثير من 25 مؤسسة تمتلكها Microsoft علنا ، يحذر ويليامز.
لتحديد ضحايا المؤسسة ، يمكن لـ Microsoft البحث عن الرموز المميزة الخاصة بهم التي تم توقيعها باستخدام مفتاح من فئة المستهلك. ولكن كان من الممكن استخدام هذا المفتاح لإنشاء رموز من فئة المستهلك أيضًا ، والتي قد يكون من الصعب جدًا اكتشافها نظرًا لأن الرموز المميزة ربما تم توقيعها بالمفتاح المتوقع. “من جانب المستهلك ، كيف تعرف ذلك؟” يسأل ويليامز. “مايكروسوفت لم تناقش ذلك ، وأعتقد أن هناك الكثير من الشفافية التي يجب أن نتوقعها.”
كشف التجسس الصيني الأخير من Microsoft ليس المرة الأولى التي يستغل فيها المتسللون الذين ترعاهم الدولة الرموز المميزة لاختراق الأهداف أو نشر وصولهم. كما سرق المتسللون الروس الذين نفذوا هجوم سلسلة التوريد الشهير لشركة Solar Winds ، رموز Microsoft Outlook المميزة من أجهزة الضحايا التي يمكن استخدامها في أماكن أخرى على الشبكة للحفاظ على وصولها إلى الأنظمة الحساسة وتوسيع نطاقها.
بالنسبة لمسؤولي تكنولوجيا المعلومات ، تقترح هذه الحوادث – وخاصة هذه الأحداث الأخيرة – بعض المقايضات الواقعية للترحيل إلى السحابة. أوصت Microsoft ، ومعظم صناعة الأمن السيبراني ، لسنوات بالانتقال إلى الأنظمة المستندة إلى السحابة لوضع الأمان في أيدي عمالقة التكنولوجيا بدلاً من الشركات الصغيرة. لكن الأنظمة المركزية يمكن أن يكون لها نقاط ضعف خاصة بها – مع احتمال حدوث عواقب وخيمة.
يقول ويليامز: “أنت تسلم مفاتيح المملكة إلى Microsoft”. “إذا كانت مؤسستك غير مرتاحة لذلك الآن ، فليس لديك خيارات جيدة.”