Microsoft: Chiny ukradły tajny klucz, który odblokował pocztę rządową USA, ze zrzutu awaryjnego

W lipcu wykradziono tajny klucz bezpieczeństwa Microsoftu, który został przez Chiny użyty do włamania się na konta poczty e-mail rządu USA. Dzisiaj producent systemu Windows opublikował własne wyjaśnienie tego, jak chiński zespół szpiegowski znany jako Storm-0558 zdobył ten klucz kryptograficzny, który później został wykorzystany do włamania się na konta Outlook.

Cyberprzestępcy wykradli klucz konsumencki ze zrzutu awaryjnego oprogramowania, który - jak przyznał Microsoft - nie powinien zawierać klucza kryptograficznego. Microsoft przedstawił te ustalenia w dokumencie zatytułowanym "Wyniki głównego dochodzenia technicznego w sprawie pozyskania klucza przez Storm-0558". W skrócie można powiedzieć, że doszło do błędów, ale Redmond zapewnia, że wprowadził zmiany, aby uniknąć powtórzenia takiej sytuacji. Kluczowe informacje IT, takie jak klucze kryptograficzne, są przechowywane w izolowanej sieci produkcyjnej, z dala od codziennej infrastruktury korporacyjnej. 

Microsoft opublikował raport, w którym wyjaśnia najbardziej prawdopodobny sposób kradzieży klucza kryptograficznego z serwerów rządowych.

W kwietniu 2021 roku, gdy oprogramowanie w izolowanym środowisku, które obsługiwało klucz konsumencki, uległo awarii, wykonano migawkę programu. Okazało się, że ta migawka zawierała kopię tego tajnego klucza. "Warunek race condition spowodował obecność klucza w zrzucie awaryjnym (ta kwestia została naprawiona)" - wyjaśniło Microsoft Security Response Center w swoim szczegółowym opisie. "Dostępność materiału klucza w zrzucie awaryjnym nie została wykryta przez nasze systemy (ta kwestia została naprawiona)" - dodano. Idealnie byłoby, gdyby zrzuty awaryjne nie zawierały poufnych informacji, takich jak całkowicie tajne klucze kryptograficzne, i byłyby automatycznie redagowane. Zgodnie ze "standardowym procesem debugowania" Microsoftu, pracownicy przenieśli zrzut awarii z izolowanej sieci produkcyjnej do środowiska debugowania w sieci korporacyjnej podłączonej do internetu.

Pekin wykorzystał skradziony klucz do zalogowania się na konta e-mail w chmurze Microsoft używane przez urzędników rządu USA, w tym sekretarz handlu USA Ginę Raimondo oraz innych urzędników Departamentu Stanu i Handlu.  Według firm analitycznych, klucz „był potężniejszy” niż mogłoby się wydawać” i mógł zostać wykorzystany do włamania się nie tylko do kont Outlook i Exchange Online. 

Tylko dlaczego klucz konsumencki mógł uzyskać dostęp do poczty firmowej? Microsoft wyjaśnia, że początki tego problemu sięgają września 2018 roku, kiedy to firma rozpoczęła udostępnianie konwergentnego punktu końcowego interfejsu API, który umożliwiał aplikacjom uwierzytelnianie użytkowników, niezależnie od tego, czy byli to użytkownicy korporacyjni czy indywidualni konsumenci.

W tym okresie, firma Redmond zaktualizowała swoją dokumentację oraz biblioteki oprogramowania, aby programiści mogli wykorzystać ten punkt końcowy do zapewnienia pojedynczego interfejsu logowania. Niestety, Microsoft nie dostarczył wystarczającej liczby automatycznych kontroli w tych bibliotekach, aby zapewnić, że użytkownik korporacyjny nie zostanie uwierzytelniony przy użyciu klucza konsumenckiego. Kolejny problem,który, został już naprawiony.

W 2022 roku, gdy inżynierowie Microsoftu zaczęli korzystać z tego punktu końcowego w swoich produktach do obsługi poczty e-mail, nie zdawali sobie sprawy, że te kontrole również nie zostały wdrożone - jak zostało to wyjaśnione. "Oznaczałoby to, że system pocztowy akceptowałby żądanie poczty korporacyjnej przy użyciu tokena zabezpieczającego, który był podpisany kluczem klienta (ten problem został rozwiązany dzięki zaktualizowanym bibliotekom)".