Microsoft weet niet hoe signing key gebruikt voor e-maildiefstal werd gestolen
Microsoft heeft nog altijd geen idee hoe de signing key, waarmee aanvallers toegang tot de e-mails van overheden en andere klanten kregen, is gestolen. Deze week maakte het techbedrijf bekend dat aanvallers toegang hadden gekregen tot de e-mailaccounts van zo'n 25 organisaties, waaronder overheden in West-Europa, en een niet nader genoemd aantal eindgebruikers. Slachtoffers hadden hun e-mail bij Outlook.com en Outlook Web Access (OWA) in Exchange Online ondergebracht.
Om toegang tot de accounts van klanten te krijgen maakte de aanvallers gebruik van vervalste tokens die door middel van een Microsoft account (MSA) consumer signing key waren gemaakt. De grote vraag is hoe de aanvallers deze signing key in hun bezit hebben gekregen. Iets waar Microsoft het antwoord nog niet op heeft. Met de signing key was het mogelijk om authenticatietokens voor Azure Active Directory enterprise en "MSA consumer" te maken waarmee zonder enige interactie van slachtoffers toegang tot hun e-mailaccounts bij OWA en Outlook.com werd verkregen.
Microsoft merkt op dat de key eigenlijk alleen bedoeld was voor MSA-accounts, maar het door een validatieprobleem ook mogelijk was om de key te gebruiken voor het signeren van Azure AD tokens waarmee er via Outlook Web Access toegang tot de Exchange Online data van organisaties kon worden verkregen. Microsoft heeft nu meer details over de aanval gegeven, waaruit blijkt dat de aanvallers een maand lang hun gang konden gaan. De aanval begon op 15 mei en werd op 16 juni ontdekt. Microsoft zegt maatregelen te hebben genomen om klanten te beschermen en dat gebruikers zelf geen verdere actie hoeven te ondernemen.
Als je zelf voortdurend sleutelparen genereert (en daar een soort rainbow-table van maakt) is er een (gigantisch kleine) kans dat je een sleutelpaar genereert waarvan de public key identiek is aan die van een public key die Microsoft gebruikt voor het verifiëren van token-signatures.
Die kans neemt toe als de door Microsoft gebruikte CSPRNG (Cryptographically Secure Random Number Generator) voorspelbaar blijkt (mogelijk onder "afgedwongen" onstandigheden). Dat zou niet de eerste keer zijn (https://en.wikinews.org/wiki/Predictable_random_number_generator_discovered_in_the_Debian_version_of_OpenSSL).
Ook lezen we regelmatig over meestal vooral theoritische "side-channel attacks" bij cryptografische bewerkingen. Je kunt niet uitsluiten dat zoiets een keer lukt in de praktijk.
Er zou ook iets heel anders aan de hand kunnen zijn, zoals (uit dezelfde periode) https://www.descope.com/blog/post/noauth.
Linksom of rechtsom zaagt dit aan de poten van Microsoft's cloud (en cloud in het algemeen), enerzijds omdat Microsoft zegt al meerdere kwetsbaarheden te hebben verholpen (gaten die nu ineens gevonden zijn maar waar Microsoft geen CVE's aan koppelt) en anderzijds omdat ze nog niet weten hoe de aanvallers dit kunstje hebben geflikt.
Zwak is dan natuurlijk:
Goede write-up van Dan Goodin: https://arstechnica.com/security/2023/07/microsoft-takes-pains-to-obscure-role-in-0-days-that-caused-email-breach/.
Of ze hebben het wachtwoord van hun private key gehaald, want dat wil Microsoft zo graag uitbannen. Misschien is er iets minder veiligs voor in de plaats gekomen. Windows Hello of zo.
Azure heet binnenkort overigens Entra, dus dan kan Microsoft zeggen dat Entra nog nul keer gehackt is en dus veiliger is als Azure AD :-) Dat is ook een manier om met slecht nieuws om te gaan.
Als je zelf voortdurend sleutelparen genereert (en daar een soort rainbow-table van maakt) is er een (gigantisch kleine) kans dat je een sleutelpaar genereert waarvan de public key identiek is aan die van een public key die Microsoft gebruikt voor het verifiëren van token-signatures.
Die kans neemt toe als de door Microsoft gebruikte CSPRNG (Cryptographically Secure Random Number Generator) voorspelbaar blijkt (mogelijk onder "afgedwongen" onstandigheden). Dat zou niet de eerste keer zijn (https://en.wikinews.org/wiki/Predictable_random_number_generator_discovered_in_the_Debian_version_of_OpenSSL).
Ook lezen we regelmatig over meestal vooral theoritische "side-channel attacks" bij cryptografische bewerkingen. Je kunt niet uitsluiten dat zoiets een keer lukt in de praktijk.
Er zou ook iets heel anders aan de hand kunnen zijn, zoals (uit dezelfde periode) https://www.descope.com/blog/post/noauth.
Linksom of rechtsom zaagt dit aan de poten van Microsoft's cloud (en cloud in het algemeen), enerzijds omdat Microsoft zegt al meerdere kwetsbaarheden te hebben verholpen (gaten die nu ineens gevonden zijn maar waar Microsoft geen CVE's aan koppelt) en anderzijds omdat ze nog niet weten hoe de aanvallers dit kunstje hebben geflikt.
Zwak is dan natuurlijk:
Goede write-up van Dan Goodin: https://arstechnica.com/security/2023/07/microsoft-takes-pains-to-obscure-role-in-0-days-that-caused-email-breach/.
Stuur dit antwoord naar Microsoft, zij zoeken met echte specialisten naar de oorzaak, maar jij schijnt de oplossing al bedacht te hebben.
In haar blogs lijkt zij (Microsoft) veel details achter te houden - iets dat ik overigens ook zou doen als ik zakelijker was (en verantwoording moest afleggen aan aandeelhouders nadat niet ikzelf, maar mijn klanten, hadden ontdekt dat Chinese staatshackers "mijn cloud" had gecompromitteerd - met als slachtoffers o.a. het ministerie van buitenlandse zaken van de VS). Dit nadat ik al mijn klanten, met de overheid van de VS voorop, de cloud (voor veel geld) had opgedrongen - met de belofte dat het allemaal superveilig zou zijn.
Dit incident is geenszins vergelijkbaar met de zoveelste kwetsbaarheid in MS Word; de toekomst van Microsoft staat op het spel.
Simpeler speculatie is dat een van de admins die bij die server kan gehacked is , op één van de vele manier waarop clients gehacked kunnen worden.
Of gewoon omgekocht is, of uit idealisme het moederland heeft geholpen.
In haar blogs lijkt zij (Microsoft) veel details achter te houden - iets dat ik overigens ook zou doen als ik zakelijker was (en verantwoording moest afleggen aan aandeelhouders nadat niet ikzelf, maar mijn klanten, hadden ontdekt dat Chinese staatshackers "mijn cloud" had gecompromitteerd - met als slachtoffers o.a. het ministerie van buitenlandse zaken van de VS). Dit nadat ik al mijn klanten, met de overheid van de VS voorop, de cloud (voor veel geld) had opgedrongen - met de belofte dat het allemaal superveilig zou zijn.
Ongeacht het motief - in management summaries staan gewoon nooit veel technische details.
En voor formele uitlatingen met grote impact - je schrijft alleen op wat je 100% zeker weet, en niet wat je (op dat moment) nog speculeert of aan het onderzoeken bent.
Dit incident is geenszins vergelijkbaar met de zoveelste kwetsbaarheid in MS Word; de toekomst van Microsoft staat op het spel.
Drama queen.
Ik voorspel amper een blipje. Security is gewoon NIET ZO BELANGRIJK .
Voor wie 'in house' heilig wil verklaren - dat totale mega hack met een waanzinnige spionage opbrengst goed voor decennia plezier - gebeurde in house (office of personnel management )
https://en.wikipedia.org/wiki/Office_of_Personnel_Management_data_breach
Daar hebben een paar Chinezen hun bonus echt wel verdiend .
nou nou zo een vaart zal het (nog) wel niet lopen, mara het is wel een flinke knauw waarbij er misschien toch wel weer wat meer mail on prem gedaan gaat worden alhoewel ik bij onze UNI een latentie verwacht met wachten dat de wind over gewaaid is en dan glas plas was want oh oh oh mail is zo moeilijk dus moet alles O365.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.