image

Microsoft weet niet hoe signing key gebruikt voor e-maildiefstal werd gestolen

zaterdag 15 juli 2023, 17:19 door Redactie, 11 reacties

Microsoft heeft nog altijd geen idee hoe de signing key, waarmee aanvallers toegang tot de e-mails van overheden en andere klanten kregen, is gestolen. Deze week maakte het techbedrijf bekend dat aanvallers toegang hadden gekregen tot de e-mailaccounts van zo'n 25 organisaties, waaronder overheden in West-Europa, en een niet nader genoemd aantal eindgebruikers. Slachtoffers hadden hun e-mail bij Outlook.com en Outlook Web Access (OWA) in Exchange Online ondergebracht.

Om toegang tot de accounts van klanten te krijgen maakte de aanvallers gebruik van vervalste tokens die door middel van een Microsoft account (MSA) consumer signing key waren gemaakt. De grote vraag is hoe de aanvallers deze signing key in hun bezit hebben gekregen. Iets waar Microsoft het antwoord nog niet op heeft. Met de signing key was het mogelijk om authenticatietokens voor Azure Active Directory enterprise en "MSA consumer" te maken waarmee zonder enige interactie van slachtoffers toegang tot hun e-mailaccounts bij OWA en Outlook.com werd verkregen.

Microsoft merkt op dat de key eigenlijk alleen bedoeld was voor MSA-accounts, maar het door een validatieprobleem ook mogelijk was om de key te gebruiken voor het signeren van Azure AD tokens waarmee er via Outlook Web Access toegang tot de Exchange Online data van organisaties kon worden verkregen. Microsoft heeft nu meer details over de aanval gegeven, waaruit blijkt dat de aanvallers een maand lang hun gang konden gaan. De aanval begon op 15 mei en werd op 16 juni ontdekt. Microsoft zegt maatregelen te hebben genomen om klanten te beschermen en dat gebruikers zelf geen verdere actie hoeven te ondernemen.

Reacties (11)
15-07-2023, 17:26 door Anoniem
Waarom zouden we nog gebruik maken van die onbetrouwbare software van Microsoft?
15-07-2023, 18:43 door Erik van Straten
De (private) signing key hoeft niet te zijn gestolen.

Als je zelf voortdurend sleutelparen genereert (en daar een soort rainbow-table van maakt) is er een (gigantisch kleine) kans dat je een sleutelpaar genereert waarvan de public key identiek is aan die van een public key die Microsoft gebruikt voor het verifiëren van token-signatures.

Die kans neemt toe als de door Microsoft gebruikte CSPRNG (Cryptographically Secure Random Number Generator) voorspelbaar blijkt (mogelijk onder "afgedwongen" onstandigheden). Dat zou niet de eerste keer zijn (https://en.wikinews.org/wiki/Predictable_random_number_generator_discovered_in_the_Debian_version_of_OpenSSL).

Ook lezen we regelmatig over meestal vooral theoritische "side-channel attacks" bij cryptografische bewerkingen. Je kunt niet uitsluiten dat zoiets een keer lukt in de praktijk.

Er zou ook iets heel anders aan de hand kunnen zijn, zoals (uit dezelfde periode) https://www.descope.com/blog/post/noauth.

Linksom of rechtsom zaagt dit aan de poten van Microsoft's cloud (en cloud in het algemeen), enerzijds omdat Microsoft zegt al meerdere kwetsbaarheden te hebben verholpen (gaten die nu ineens gevonden zijn maar waar Microsoft geen CVE's aan koppelt) en anderzijds omdat ze nog niet weten hoe de aanvallers dit kunstje hebben geflikt.

Zwak is dan natuurlijk:
Uit https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/: No key-related actor activity has been observed since Microsoft invalidated the actor-acquired MSA signing key. Further, we have seen Storm-0558 transition to other techniques, which indicates that the actor is not able to utilize or access any signing keys.
Dat laatste kan ook gewoon een schijnbeweging zijn.

Goede write-up van Dan Goodin: https://arstechnica.com/security/2023/07/microsoft-takes-pains-to-obscure-role-in-0-days-that-caused-email-breach/.
15-07-2023, 20:15 door Anoniem
Het kan natuurlijk ook een Rowhammer aanval zijn. Omdat alles in de cloud zit tegenwoordig. De aanvaller kan dan andere processen op dezelfde hardware aanvallen. Misschien hadden de aanvallers dit keer geluk. Wie weet waar ze nog meer binnen zijn gekomen waar we niets over horen.

Of ze hebben het wachtwoord van hun private key gehaald, want dat wil Microsoft zo graag uitbannen. Misschien is er iets minder veiligs voor in de plaats gekomen. Windows Hello of zo.

Azure heet binnenkort overigens Entra, dus dan kan Microsoft zeggen dat Entra nog nul keer gehackt is en dus veiliger is als Azure AD :-) Dat is ook een manier om met slecht nieuws om te gaan.
15-07-2023, 20:25 door Japie Apie
Door Erik van Straten: De (private) signing key hoeft niet te zijn gestolen.

Als je zelf voortdurend sleutelparen genereert (en daar een soort rainbow-table van maakt) is er een (gigantisch kleine) kans dat je een sleutelpaar genereert waarvan de public key identiek is aan die van een public key die Microsoft gebruikt voor het verifiëren van token-signatures.

Die kans neemt toe als de door Microsoft gebruikte CSPRNG (Cryptographically Secure Random Number Generator) voorspelbaar blijkt (mogelijk onder "afgedwongen" onstandigheden). Dat zou niet de eerste keer zijn (https://en.wikinews.org/wiki/Predictable_random_number_generator_discovered_in_the_Debian_version_of_OpenSSL).

Ook lezen we regelmatig over meestal vooral theoritische "side-channel attacks" bij cryptografische bewerkingen. Je kunt niet uitsluiten dat zoiets een keer lukt in de praktijk.

Er zou ook iets heel anders aan de hand kunnen zijn, zoals (uit dezelfde periode) https://www.descope.com/blog/post/noauth.

Linksom of rechtsom zaagt dit aan de poten van Microsoft's cloud (en cloud in het algemeen), enerzijds omdat Microsoft zegt al meerdere kwetsbaarheden te hebben verholpen (gaten die nu ineens gevonden zijn maar waar Microsoft geen CVE's aan koppelt) en anderzijds omdat ze nog niet weten hoe de aanvallers dit kunstje hebben geflikt.

Zwak is dan natuurlijk:
Uit https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/: No key-related actor activity has been observed since Microsoft invalidated the actor-acquired MSA signing key. Further, we have seen Storm-0558 transition to other techniques, which indicates that the actor is not able to utilize or access any signing keys.
Dat laatste kan ook gewoon een schijnbeweging zijn.

Goede write-up van Dan Goodin: https://arstechnica.com/security/2023/07/microsoft-takes-pains-to-obscure-role-in-0-days-that-caused-email-breach/.
Stuur dit antwoord naar Microsoft, zij zoeken met echte specialisten naar de oorzaak, maar jij schijnt de oplossing al bedacht te hebben.
16-07-2023, 13:54 door Anoniem

Stuur dit antwoord naar Microsoft, zij zoeken met echte specialisten naar de oorzaak, maar jij schijnt de oplossing al bedacht te hebben.
Hij weet het ook niet, het is een mogelijkheid.
16-07-2023, 14:09 door Anoniem
Wat weet Microsoft wel vraag ik mij af ?
16-07-2023, 17:55 door Anoniem
Dus, om het heel even samen te vatten. Wij maar kloten met MFA en gezeik van spamfilters van die O365 mail die van alles in quarantaine gooit of zelfs niet eens door laat, en onder tussen dan dit?!?! Puinhoop!
16-07-2023, 21:02 door Erik van Straten
Door Anoniem @13:45:
Door Japie Apie: Stuur dit antwoord naar Microsoft, zij zoeken met echte specialisten naar de oorzaak, maar jij schijnt de oplossing al bedacht te hebben.
Hij weet het ook niet, het is een mogelijkheid.
Precies. Ik noemde mogelijke oorzaken (nóg ééntje: een geheime Chinese quantum-computer die asymmetrische crypto kan kraken), niet beschikkend over gedetailleerde informatie, maar slechts wat Microsoft erover kwijt wil.

In haar blogs lijkt zij (Microsoft) veel details achter te houden - iets dat ik overigens ook zou doen als ik zakelijker was (en verantwoording moest afleggen aan aandeelhouders nadat niet ikzelf, maar mijn klanten, hadden ontdekt dat Chinese staatshackers "mijn cloud" had gecompromitteerd - met als slachtoffers o.a. het ministerie van buitenlandse zaken van de VS). Dit nadat ik al mijn klanten, met de overheid van de VS voorop, de cloud (voor veel geld) had opgedrongen - met de belofte dat het allemaal superveilig zou zijn.

Dit incident is geenszins vergelijkbaar met de zoveelste kwetsbaarheid in MS Word; de toekomst van Microsoft staat op het spel.

Door Anoniem @17:55: Dus, om het heel even samen te vatten. Wij maar kloten met MFA en gezeik van spamfilters van die O365 mail die van alles in quarantaine gooit of zelfs niet eens door laat, en onder tussen dan dit?!?! Puinhoop!
Sterker, Microsoft heeft wachtwoorden, en dus POP3 en IMAP, verbannen en stelt zware eisen aan elke ontwikkelaar van e-mail clients die willen kunnen connecten - want "modern authentication" (zeer gecompliceerde kettingen met veel schakels) zou veel veiliger zijn.
16-07-2023, 22:37 door Anoniem
Door Erik van Straten:
Door Anoniem @13:45:
Door Japie Apie: Stuur dit antwoord naar Microsoft, zij zoeken met echte specialisten naar de oorzaak, maar jij schijnt de oplossing al bedacht te hebben.
Hij weet het ook niet, het is een mogelijkheid.
Precies. Ik noemde mogelijke oorzaken (nóg ééntje: een geheime Chinese quantum-computer die asymmetrische crypto kan kraken), niet beschikkend over gedetailleerde informatie, maar slechts wat Microsoft erover kwijt wil.

Simpeler speculatie is dat een van de admins die bij die server kan gehacked is , op één van de vele manier waarop clients gehacked kunnen worden.

Of gewoon omgekocht is, of uit idealisme het moederland heeft geholpen.


In haar blogs lijkt zij (Microsoft) veel details achter te houden - iets dat ik overigens ook zou doen als ik zakelijker was (en verantwoording moest afleggen aan aandeelhouders nadat niet ikzelf, maar mijn klanten, hadden ontdekt dat Chinese staatshackers "mijn cloud" had gecompromitteerd - met als slachtoffers o.a. het ministerie van buitenlandse zaken van de VS). Dit nadat ik al mijn klanten, met de overheid van de VS voorop, de cloud (voor veel geld) had opgedrongen - met de belofte dat het allemaal superveilig zou zijn.

Ongeacht het motief - in management summaries staan gewoon nooit veel technische details.

En voor formele uitlatingen met grote impact - je schrijft alleen op wat je 100% zeker weet, en niet wat je (op dat moment) nog speculeert of aan het onderzoeken bent.

Dit incident is geenszins vergelijkbaar met de zoveelste kwetsbaarheid in MS Word; de toekomst van Microsoft staat op het spel.

Drama queen.
Ik voorspel amper een blipje. Security is gewoon NIET ZO BELANGRIJK .

Voor wie 'in house' heilig wil verklaren - dat totale mega hack met een waanzinnige spionage opbrengst goed voor decennia plezier - gebeurde in house (office of personnel management )
https://en.wikipedia.org/wiki/Office_of_Personnel_Management_data_breach

Daar hebben een paar Chinezen hun bonus echt wel verdiend .
17-07-2023, 10:15 door Anoniem
"Dit incident is geenszins vergelijkbaar met de zoveelste kwetsbaarheid in MS Word; de toekomst van Microsoft staat op het spel."

nou nou zo een vaart zal het (nog) wel niet lopen, mara het is wel een flinke knauw waarbij er misschien toch wel weer wat meer mail on prem gedaan gaat worden alhoewel ik bij onze UNI een latentie verwacht met wachten dat de wind over gewaaid is en dan glas plas was want oh oh oh mail is zo moeilijk dus moet alles O365.
17-07-2023, 13:41 door Anoniem
Door Anoniem: Wat weet Microsoft wel vraag ik mij af ?
Microsoft is nog nog onwetend over dat ze zelf zijn gehackt. Moet nog even landen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.