ابعاد جدید حمله به زیرساخت‌های مایکروسافت توسط هکرهای چینی

حمله اخیر به زیرساخت ایمیل مایکروسافت توسط یک هکر چینی به نام Storm-0558 گسترده‌تر از چیزی است که تصور می‌شد.

در این مقاله، می‌خواهیم ضمن بررسی جزئیات به بررسی دیگر ابعاد این حمله بپردازیم، با ما همراه باشید.

شرکت امنیت ابری Wiz اعلام کرد که جعل توکن‌های (Azure Active Directory) Azure AD با استفاده از کلید امضای حساب (MSA) غیرفعال مایکروسافت به مهاجم اجازه دسترسی غیرقانونی به Outlook Web Access (OWA) و Outlook.com را می‌دهد. این حمله شامل این موارد زیر است:

هر برنامه‌ای که از احراز هویت حساب شخصی پشتیبانی می‌کند، مانندOneDrive, SharePoint و Teams
برنامه‌های مشتریان که از "ورود با حساب کاربری مایکروسافت" پشتیبانی می‌کنند.
برنامه های multi-tenant تحت Azure در شرایط خاص.

شرکت Wiz در تحلیل خود، اظهار کرده است که (تمامی برنامه‌های حساب شخصی Azure ورژن 2.0 به لیستی از 8 کلید عمومی و برنامه‌های multi-tenant تحتAzure ورژن 2.0 با حساب کاربری Microsoft به لیستی از 7 کلید عمومی وابسته هستند). مایکروسافت هنوز در حال بررسی است که هکر چینی چگونه توانست کلید امضای MSA را بدست آورد و مشخص نیست که آیا این کلید به‌عنوان یک کلید اصلی برای دسترسی به داده‌های تقریباً ۲۵ سازمان تحت تاثیر این حمله عمل می‌کند یا خیر.

همچنین شرکت Wiz دریافته است که مایکروسافت یکی از کلیدهای عمومی لیست شده را که حداقل از سال ۲۰۱۶ وجود داشت (thumbprint:d4b4cccda9228624656bff33d8110955779632aa) را در زمانی میان ۲۷ ژوئن ۲۰۲۳ و ۵ ژوئیه ۲۰۲۳ تغییر داده است. این در حالی است که مایکروسافت پیش‌تر اعلام کرده بود که کلید مربوطه را باطل کرده است.

اگرچه کلید امضای شناسایی حساب غیرفعال مایکروسافت توسط Storm-0558 مورد تهدید قرار گرفته بود، اما با این حال، این کلید می‌توانست برای جعل توکن‌های دسترسی به برنامه های مختلف Azure AD هم استفاده شود. به عبارت دیگر، این شکاف در سیستم امنیتی Azure AD می‌توانست این اجازه را به مهاجمان دهد که توکن‌های دسترسی برای هر برنامه‌ای که به پلتفرم احراز هویت Azure وابسته باشد، را جعل کنند. خبر بدتر این است که با استفاده از کلید خصوصی بدست آمده می‌توان توکن‌های دسترسی را به نوعی جعل کرد تا به عنوان هر کاربری به برنامه‌های تحت تأثیر که از گواهی‌های شناساییMicrosoft OpenID v2.0 استفاده می‌کنند، دسترسی داشت.

این حمله نشان می‌دهد که چگونه یک کشور قدرتمند با استفاده از کلیدهای شناسایی می‌تواند به داده‌های حساس دسترسی پیدا کند و پس از جعل توکن‌های مربوطه، به هر برنامه‌ای که به پلتفرم احراز هویت Azure وابسته باشد، دست یابد. این حمله برای مایکروسافت دردسرهای زیادی ایجاد کرده است و نشان می‌دهد که سیستم‌های امنیتی آن‌ها نیاز به بازبینی و اصلاح دارد.

بیشتر بخوانبد:

امن سازی چیست و چرا سازمان‌ها به آن نیاز دارند؟
منبع:
thehackernews

تاریخ انتشار: 1402/05/02

تاریخ بروزرسانی: 1402/05/02

نویسنده: ابوالفضل محمدی توسعه‌دهنده سیستمی

ابوالفضل محمدی توسعه‌دهنده نرم‌افزار با بیش از 5 سال تجربه در حوزه‌های مختلف می‌باشد. عمده فعالیت وی کار بر روی محصولات دیجیتال در استارتاپ‌ها و شرکت‌ها بوده است. به مهندسی معکوس، تحلیل بدافزار و Win32 API مسلط است و با اکثر زبان‌های برنامه‌نویسی و تکنولوژی‌های مطرح آشنایی دارد. هدف اصلی او تمرکز بر تحقیق و یادگیری تکنولوژی‌های جدید است.

برچسب‌های مرتبط

اخبار تکنولوژی

این مطلب را با دوستان خود به اشتراک بگذارید

نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

Holy guacamole! You should check in on some of those fields below.

با ما در ارتباط باشید

تهران، میدان رسالت، خیابان فرجام، خیابان شهید حسینعلی، پلاک ۹

۰۲۱-۹۱۰۹۴۳۳۰

۰۲۱-۷۷۲۴۳۸۲۹

info@cyberno.ir

گواهینامه ها

مشاهده
بیشتر

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.