Microsoft กล่าวว่าบัญชีองค์กรของหนึ่งในวิศวกรของตนถูกแฮ็กโดยผู้กระทำที่มีทักษะสูง

Microsoft กล่าวว่าบัญชีองค์กรของหนึ่งในวิศวกรของตนถูกแฮ็กโดยผู้กระทำที่มีทักษะสูง ซึ่งได้รับคีย์การลงชื่อที่ใช้ในการแฮ็กหลายบัญชี Azure และ Exchange ที่เป็นของผู้ใช้ที่มีชื่อเสียง

การเปิดเผยนี้แก้ปัญหาสองปริศนาที่อยู่ในศูนย์กลางของการเปิดเผยที่ Microsoft ทำในเดือนกรกฎาคม บริษัทกล่าวว่าแฮ็กเกอร์ที่ถูกติดตามเป็น Storm-0558 ได้เข้าไปในเครือข่ายองค์กรของตนมากกว่าหนึ่งเดือนและได้เข้าถึงบัญชี Azure และ Exchange หลายบัญชี ซึ่งภายหลังถูกระบุว่าเป็นของกระทรวงการต่างประเทศและการค้าของสหรัฐฯ Storm-0558 ดำเนินการได้โดยการรับคีย์การลงชื่อของบัญชีผู้ใช้ Microsoft ที่หมดอายุและใช้มันในการสร้างโทเค็นสำหรับบริการ Azure AD ที่ถือว่าเป็นที่ปลอดภัยของ Microsoft

ปริศนาสำคัญที่ยังคงเหลือ

การเปิดเผยนี้ยังเหลือคำถามสำคัญสองข้อที่ยังไม่ได้รับคำตอบ โดยเฉพาะอย่างยิ่งคือ คีย์การลงชื่อที่เป็นข้อมูลที่ละเอียดอ่อนเช่นนี้ถูกขโมยออกจากเครือข่ายของ Microsoft อย่างไร และมันสามารถลงชื่อให้กับโทเค็นสำหรับ Azure ที่สร้างขึ้นบนโครงสร้างพื้นฐานที่แตกต่างอย่างไร

วันพุธที่ผ่านมา Microsoft ได้แก้ปริศนาเหล่านี้

บัญชีองค์กรของหนึ่งในวิศวกรของ Microsoft ถูกแฮ็ก Storm-0558 จากนั้นใช้สิทธิ์ในการเข้าถึงนี้เพื่อขโมยคีย์ คีย์เหล่านี้ Microsoft กล่าวว่า ถูกมอบหมายให้เฉพาะกับพนักงานที่ได้รับการตรวจสอบประวัติย้อนหลังและเมื่อพวกเขาใช้สถานีงานที่ได้รับการป้องกันด้วยการรับรองความถูกต้องหลายปัจจัยโดยใช้อุปกรณ์โทเค็นฮาร์ดแวร์

ความล้มเหลวในการป้องกัน

ความปลอดภัยที่มีอยู่นี้ล้มเหลวในเดือนเมษายน 2021 มากกว่าสองปีก่อนที่ Storm-0558 จะได้เข้าถึงเครือข่ายของ Microsoft เมื่อมีสถานีงานในสภาพแวดล้อมการผลิตที่เฉพาะเจาะล้มเหลว Windows ดำเนินการ “ถ่ายโอนข้อมูลเมื่อเกิดความผิดพลาด” ซึ่งข้อมูลทั้งหมดที่เก็บอยู่ในหน่วยความจำถูกเขียนลงในดิสก์เพื่อให้วิศวกรสามารถวินิจฉัยสาเหตุในภายหลัง การถ่ายโอนข้อมูลเมื่อเกิดความผิดพลาดนี้ถูกย้ายไปยังสภาพแวดล้อมการดีบั๊กของ Microsoft แฮ็กของบัญชีองค์กรของวิศวกร Microsoft อนุญาตให้ Storm-0558 เข้าถึงการถ่ายโอนข้อมูลเมื่อเกิดความผิดพลาดและด้วยมัน คีย์การลงชื่อ Exchange ที่หมดอายุ