وقالت مايكروسوفت في يونيو أن مجموعة قرصنة مدعومة من الصين قامت بسرقة مفتاح تشفير من أنظمة الشركة. سمح هذا المفتاح للمهاجمين بالوصول إلى أنظمة البريد الإلكتروني السحابية Outlook لـ 25 مؤسسة، بما في ذلك العديد من الوكالات الحكومية الأمريكية. ومع ذلك، في وقت الكشف، لم توضح Microsoft كيف تمكن المتسللون من اختراق مثل هذا المفتاح الحساس والخاضع لحراسة مشددة، أو كيف تمكنوا من استخدام المفتاح للتنقل بين أنظمة المستهلكين وأنظمة المؤسسات. لكن تقريرًا جديدًا بعد الوفاة نشرته الشركة يوم الأربعاء يوضح سلسلة من الأخطاء والإغفالات التي سمحت بالهجوم غير المحتمل.
تعتبر مفاتيح التشفير هذه مهمة في البنية التحتية السحابية لأنها تُستخدم لإنشاء “رموز مميزة” للمصادقة تثبت هوية المستخدم للوصول إلى البيانات والخدمات. تقول Microsoft إنها تخزن هذه المفاتيح الحساسة في “بيئة إنتاج” معزولة ويتم التحكم في الوصول إليها بشكل صارم. ولكن أثناء تعطل نظام معين في أبريل 2021، كان المفتاح المعني هو التسلل العرضي في ذاكرة التخزين المؤقت للبيانات التي خرجت من المنطقة المحمية.
يقول جيك ويليامز، وهو قرصان سابق بوكالة الأمن القومي الأمريكية ويعمل الآن في هيئة التدريس بمعهد التطبيقات التطبيقية: “أفضل الاختراقات هي الموت بألف مرة، وليس شيئًا تستغل فيه ثغرة أمنية واحدة ثم تحصل على كل السلع”. أمن الشبكات.
بعد الانهيار المشؤوم لنظام توقيع المستهلك، انتهى الأمر بمفتاح التشفير في “مخزن الأعطال” الذي تم إنشاؤه تلقائيًا للبيانات حول ما حدث. تم تصميم أنظمة Microsoft بحيث لا تنتهي مفاتيح التوقيع والبيانات الحساسة الأخرى في عمليات تفريغ الأعطال، ولكن هذا المفتاح تسلل بسبب خطأ ما. والأسوأ من ذلك هو أن الأنظمة التي تم تصميمها لاكتشاف البيانات الخاطئة في عمليات تفريغ الأعطال فشلت في تحديد مفتاح التشفير.
ومع فحص تفريغ الأعطال وإزالته، تم نقله من بيئة الإنتاج إلى “بيئة تصحيح الأخطاء” الخاصة بشركة Microsoft، وهي نوع من منطقة الفرز والمراجعة المتصلة بشبكة الشركة العادية. مرة أخرى، فشل الفحص المصمم لاكتشاف التضمين غير المقصود لبيانات الاعتماد في اكتشاف وجود المفتاح في البيانات.
في وقت ما بعد حدوث كل هذا في أبريل 2021، قامت مجموعة التجسس الصينية، والتي تطلق عليها مايكروسوفت اسم Storm-0558، باختراق حساب الشركة الخاص بأحد مهندسي مايكروسوفت. باستخدام هذا الحساب، يمكن للمهاجمين الوصول إلى بيئة تصحيح الأخطاء حيث تم تخزين تفريغ العطل المشؤوم والمفتاح. تقول Microsoft إنها لم تعد تمتلك سجلات من هذه الحقبة تُظهر بشكل مباشر الحساب المخترق الذي يقوم بتسريب تفريغ الأعطال، “لكن هذه كانت الآلية الأكثر احتمالاً التي حصل بها الممثل على المفتاح”. وبفضل هذا الاكتشاف المهم، تمكن المهاجمون من البدء في إنشاء رموز وصول مشروعة إلى حساب Microsoft.
سؤال آخر لم تتم الإجابة عليه حول الحادث هو كيف استخدم المهاجمون مفتاح التشفير من سجل الأعطال لنظام توقيع المستهلك لاختراق حسابات البريد الإلكتروني الخاصة بالمؤسسة لمؤسسات مثل الوكالات الحكومية. وقالت مايكروسوفت يوم الأربعاء إن هذا ممكن بسبب خلل يتعلق بواجهة برمجة التطبيقات التي قدمتها الشركة لمساعدة أنظمة العملاء في التحقق من صحة التوقيعات. لم يتم تحديث واجهة برمجة التطبيقات (API) بشكل كامل باستخدام المكتبات التي من شأنها التحقق من صحة ما إذا كان النظام يجب أن يقبل الرموز المميزة الموقعة باستخدام مفاتيح المستهلك أو مفاتيح المؤسسة، ونتيجة لذلك، يمكن خداع العديد من الأنظمة لقبول أي منهما.
