نفوذ به چندین سازمان از طریق باگ مایکروسافت و توکنهای جعلی Azure AD
تاریخ انتشار: ۴ مرداد ۱۴۰۲ | کد خبر: ۳۸۳۱۹۶۹۴
مایکروسافت اعتراف کرد که مشکلی در اعتبارسنجی سبب جعل توکنهای احراز هویت و دسترسی غیرمجاز به بیش از ۲۰ سازمان مهم توسط هکرهای چینی شده است. برای اطلاعات بیشتر در رابطه با هک مایکروسافت، این مقاله را بخوانید.
مایکروسافت در پایان هفته گذشته اعلام کرد که کاربری به نام Storm-0558 با سوء استفاده از اشتباهی در اعتبارسنجی توکنها توانست به کمک کلید امضای حساب مایکروسافت (MSA)، توکنهای Azure Active Directory (Azure AD) را جعل و به بیش از 20 سازمان نفوذ کند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
"Storm-0558" موفق شد به یک کلید امضای غیرفعال MSA دست یابد و با استفاده از آن توانست توکنهای احراز هویت برای Azure AD سازمانی و MSA را جعل و به سرویسهای OWA و Outlook.com دسترسی پیدا کند. بیانیه مایکروسافت در این باره به شرح زیر است:
"روشی که این فرد برای به دست آوردن کلید استفاده کرد، هماکنون در حال بررسی است. با وجود اینکه این کلید تنها برای حسابهای MSA در نظر گرفته شده بود، اما یک خطای اعتبارسنجی باعث شد که امضای توکنهای Azure AD با این کلید مورد قبول قرار گیرد. این مشکل هم اکنون برطرف شده است."
هنوز مشخص نیست که آیا این مشکل در اعتبارسنجی توکن به صورت یک "آسیبپذیری روز صفر" (zero-day vulnerability) به کار رفته یا اینکه مایکروسافت قبل از اینکه سوءاستفادههای عملی از این مشکل شروع شود، از وجود آن اطلاع داشته است.
حملات انجام شده بر روی حدود 25 سازمان، از جمله نهادهای دولتی و حسابهای کاربری مرتبط، متمرکز بوده و با هدف دسترسی غیرمجاز به ایمیلها و بیرون کشیدن اطلاعات صندوق پستی صورت گرفته است. ویژگی قابل توجه این حملات این بود که به نظر میرسد هیچ محیط دیگری تحت تأثیر آنها قرار نگرفته است.
پس از آنکه وزارت خارجه آمریکا فعالیتهای غیرمعمول در ارتباط با دسترسی به دادههای Exchange Online را تشخیص داد، از این حادثه آگاه شد. گمان میرود Storm-0558 نفوذگری از چین باشد که فعالیتهای سایبری بدخواهانهای را انجام میدهد که میتواند با فعالیتهای جاسوسی ارتباط داشته باشد. البته، چین این ادعاها را رد کرده است.
دامنه دقیق این نقض امنیتی هنوز مشخص نشده اما این مورد جدیدترین نمونه از فعالیتهای تهدیدی امنیتی با منشأ چین است که در جستجوی اطلاعات حساس، بدون اینکه توجهی به خود جلب کند، حملات سایبری را ادامه داده و موفق به اجرای عملیات جاسوسی مخفی شده است و حداقل به مدت یک ماه تا زمان کشف آن، یعنی ژوئن 2023، فعال بوده است.
گفته میشود که این گروه حداقل از اوت 2021 فعال بوده و با دسترسی به اطلاعات کاربری، حملات هدفمند فیشینگ، و حملات توکن OAuth، حسابهای کاربری مایکروسافت را هدف گرفت تا به اهداف خود دست یابد.
دسترسی اولیه به شبکههای هدف از طریق فیشینگ و استفاده از نقاط ضعف امنیتی در برنامههای قابل دسترس برای عموم ایجاد میشود که نتیجه آن، استقرار پوسته وب China Chopper برای دسترسی به درون سیستم و ابزاری به نام Cigril برای سهولت در سرقت اطلاعات کاربری است.
Storm-0558 از اسکریپتهای PowerShell و Python برای استخراج دادههای ایمیل، مانند پیوستها، اطلاعات پوشه و کل مکالمات با استفاده از فراخوانیهای API Outlook Web Access (OWA) استفاده میکند.
مایکروسافت گفت که از زمان کشف این حمله در 16 ژوئن 2023، علت اصلی را شناسایی کرده، ردیابی دائمی حمله را برقرار کرده، فعالیتهای بدخواهانه را مختل کرده، محیط را تقویت کرده، به هر مشتری تحت حمله اطلاعرسانی کرده و با چندین نهاد دولتی هماهنگ کرده است.
بر اساس تجزیه و تحلیل اولیه مایکروسافت و همانطور که در ابتدا اشاره شد، این گروه هکری با استفاده از کلید امضا کننده MSA (Microsoft account) غیرفعال توکنهای احراز هویت را جعل کرده و به OWA و Outlook.com دسترسی پیدا کرده است. البته، مایکروسافت اقدامات لازم را برای جلوگیری از سوءاستفاده مرتبط انجام داده است.
این هکرها از ابزارهای قدرتمندی برای اجرای فراخوانیهای API REST در سرویس Exchange Store OWA استفاده میکنند. این ابزارها به آنها امکان میدهند تا اطلاعات ایمیل مانند دانلود ایمیلها، پیوستها، مکالمات و اطلاعات پوشه ایمیل را استخراج کنند. مایکروسافت توصیه میکند که سازمانها در مواجهه با تهدیدات از این نوع، موارد زیر را در نظر بگیرند:
بروزرسانی و پچ: مطمئن شوید که تمامی سیستمها بهروز و پچ شدهاند. پچهای امنیتی جدیدترین ابزارها و تکنیکها را برای مقابله با این نوع تهدیدات ارائه میدهند. آموزش کارکنان: آگاهی از تکنیکهای فیشینگ و امنیت ایمیل برای کاهش خطر از این نوع حملات بسیار مهم است. بنابراین، کارکنان باید در این مورد آموزش ببینند و به آنها آموزش داده شود که چگونه ایمیلهای مشکوک را شناسایی کنند. استفاده از ابزارهای امنیتی پیشرفته: ابزارهای امنیتی مانند گزارشهای امنیتی مایکروسافت، سیستمهای کشف تهدیدات و سیستمهای پیشگیری از نفوذ میتوانند به شما کمک کنند تا تهدیدات را زودتر شناسایی کنید و به آنها پاسخ دهید. استفاده از سرویسهای ابری محافظ: استفاده از سرویسهای ابری مانند Azure Sentinel و Microsoft 365 Defender میتواند در شناسایی، پیگیری و مدیریت تهدیدات امنیتی مفید باشد. فعالسازی تایید دومرحلهای: این روش میتواند با افزودن یک مرحله اضافی به فرآیند ورود به سیستم، به شما کمک کند تا از حسابهای خود در برابر دسترسیهای غیرمجاز محافظت کنید.به خاطر داشته باشید که هیچ راهکار امنیتی کامل و مطلقی وجود ندارد و مدیریت امنیت باید یک فرآیند مداوم و پویا باشد. بهترین روش برای حفاظت از سازمان خود در برابر تهدیدات امنیتی، ایجاد یک رویکرد چند لایهای شامل آموزش کارکنان، استفاده از ابزارهای پیشرفته امنیت سایبری و راهکارهای امنیت فیزیکی برای محافظت از دستگاهها و شبکهها است.
منبع: سایبرنو
کانال عصر ایران در تلگرام بیشتر بخوانید: فیشینگ چیست و چگونه سد راه آن شویم؟ از مایکروسافت بیشتر بدانیممنبع: عصر ایران
کلیدواژه: مایکروسافت توکن هک توکن ها
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.asriran.com دریافت کردهاست، لذا منبع این خبر، وبسایت «عصر ایران» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۳۸۳۱۹۶۹۴ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
۲۶۷ میلیون دلار از کمکهای آنروا کم شد
کمیسر کل آنروا گفت، مجموع کمکهای مسدود شده توسط کشورهای کمککننده به آژانس امداد و کار سازمان ملل برای آوارگان فلسطینی (آنروا) در حال حاضر ۲۶۷ میلیون دلار است.
به گزارش ایسنا، «فیلیپ لازارینی» کمیسر کل آنروا هفته گذشته اعلام کرده بود در مجموع ۴۵۰ میلیون دلار کمک به حالت تعلیق درآمده است.
به نقل از لوریان لوژور، وی در ژنو اعلام کرد به لطف بازگشت برخی از کمککنندگان، کمک کشورهای جدید و موفقیت جمعآوری کمکهای خصوصی، «امروز در وضعیت بهتری نسبت به سه ماه پیش هستیم.»
آنروا که تقریباً همه کمکها به غزه را هماهنگ میکند، از زمانی که رژیم صهیونیستی ۱۳ هزار کارمند این آژانس در غزه را به مشارکت در عملیات حماس به اسرائیل در ۷ اکتبر متهم کرد، دچار بحران شد.
این امر باعث شده است که چندین کشور کمککننده، از جمله ایالات متحده، تمام کمکهای مالی به آژانس را به حالت تعلیق درآورند و توانایی آن را برای فعالیت در منطقه محاصره شده تهدید کنند، درحالیکه سازمان ملل درباره قحطی قریبالوقوع هشدار داده است.
لازارینی افزود چندین کشور تصمیم گرفتهاند کمکهای خود را از سر بگیرند، اما نه همه که نشان میدهد «۲۶۷ میلیون دلار» همچنان بلوکه شده است که بیشتر آن به تعلیق کمکهای آمریکا بستگی دارد.
وی توضیح داد آمریکا بهصراحت اعلام کرده است که به دلیل ممنوعیت کنگره تا مارس ۲۰۲۵ تعلیق کمکها را حفظ خواهد کرد درحالیکه بریتانیا و اتریش هنوز تصمیمی نگرفتهاند. تصمیم سوئیس بهزودی اعلام خواهد شد.
رئیس آنروا اظهار کرد کشورهای جدید، از جمله الجزایر و عراق، تمایل خود را برای کمک به این آژانس ابراز کردهاند و همچنین بیش از ۱۱۵ میلیون دلار در شش ماه از طریق کمککنندگان خصوصی جمعآوریشده است.
انتهای پیام