Microsoft bugün Azure sistemindeki bir açık nedeniyle, Amerikan devlet kurumlarına ait sitelere ve bazı devlet yetkililerinin e-maillerine sızma olduğunu açıkladı. Açıklamada geçen ay Çinli bilgisayar korsanları tarafından istismar edilen ve e-posta hesaplarına erişmelerine ve devlet kurumları, bir milletvekilinin personeli ve hatta Ticaret Bakanı dahil olmak üzere 25 kadar kuruluşun iç işleyişini gözetlemelerine izin veren sorun olduğunu belirtti.
Microsoft, 15 Mayıs’ta “Storm-0558” adını verdikleri bir grubun e-posta hesaplarına erişim kazanmasıyla başladığını söylediği hack’i ele alış şeklinden dolayı tepkiyle karşılaştı. Bilgisayar korsanları, e-postalara erişim talep eden varlıkların kimliğini doğrulamak için kullanılan sahte kimlik doğrulama belirteçlerini kullanarak hesaplara sızdı.
Bilgisayar korsanları, çok faktörlü kimlik doğrulama sağlayan bir kurumsal kimlik hizmeti olan Azure Active Directory ve çevrimiçi Outlook hizmetlerine erişmek için Microsoft hesapları (MSA) için belirteçler oluşturmak üzere etkin olmayan bir tüketici imzalama anahtarı kullandı.
Microsoft daha önce grubun saldırı sırasında “belirteç doğrulama sorunundan yararlandığını” söylemişti, ancak şirket hangi güvenlik açığının kullanıldığını ayrıntılı olarak açıklamadı. Sadece soruşturma yapıldığını belirttiler ve ne olduğunu ve olaya nasıl tepki verdiğini derinlemesine inceleyen yeni bir blogyayınladı.
Şirket, istismar edilen belirli güvenlik açığını hâlâ açıklamadı. Sadece belirteç sahteciliği tekniğini hafiflettiğini söyledi – 26 Haziran’da Outlook webmail’in webmail sürümünün Azure programından verilen belirteçleri kabul etmeyi durdurduğunu yazdı.
Bir gün sonra Microsoft, bilgisayar korsanları tarafından ele geçirilen anahtarla imzalanan belirteçlerin kullanımını engelledi ve 29 Haziran’a kadar bilgisayar korsanlarının yeni belirteçler oluşturmak için anahtarı kullanmasını engellemek için anahtarı değiştirdi.
Sonunda ise tüm MSA imzalamalarını iptal etti. Şirket, “satın alınan MSA anahtarının ilk kez verilmesinden bu yana, anahtar verme sistemlerini önemli ölçüde güçlendirdiğini” söyledi. Şirket, MSA imzalama anahtarlarını sistemlerinde farklı bir konuma taşıdı ve 3 Temmuz’da “önceden verilmiş belirteçlerin kullanımını önlemek için” etkilenen tüm tüketici müşterilerinin anahtarın kullanımını engelledi.
Microsoft, bilgisayar korsanlarının izlenmesinin, bu belirli olayla ilgili tüm etkinliklerin engellendiğini gösterdiğini söyledi. Şirket yetkilileri, Storm-0558’in “başka tekniklere geçiş yaptığını, bu da oyuncunun herhangi bir imzalama anahtarı kullanamayacağını veya bunlara erişemediğini” gördüklerini söyledi.
Microsoft, kampanyayı, özellikle ABD hükümeti içindeki belirli hesaplarda casusluk yapmakla ilgilenen Çin merkezli bir tehdit aktörüne bağladı. Kampanyanın arkasındaki grubun diğer Çin hükümeti destekli bilgisayar korsanlığı gruplarıyla bağları olsa da Microsoft, Storm-0558’in “kendi ayrı grubu olarak faaliyet göstermesinin” muhtemel olduğunu söyledi.