Регистрация Восстановление пароля
Cover Image

Ко взлому правительственной почты привела «серия внутренних ошибок» — Microsoft

  
 7 Сентябрь 2023    За рубежами

Microsoft провела расследование инцидента со взломом своей облачной почты, в результате которого пострадали в том числе федеральные агентства США, и заявила, что взлом стал возможен в результате «серии внутренних ошибок», пишет The Verge.

Напомним, в первой половине июля корпорация сообщила, что китайские хакеры взломали сервис Microsoft 365, чтобы похитить данные госслужащих. Хакерская группировка Storm-0558 получила доступ примерно к 25 организациям, включая американские министерства и ведомства.

Инцидент произошел в июне; устранение последствий атаки целиком возложили на Microsoft.

Согласно результатам расследования, группировка получила доступ к электронной почте, завладев «ключом к аккаунту клиента Microsoft» (Microsoft account consumer key), что позволило создать токены доступа к аккаунтам жертв. Ключом же хакерам удалось завладеть как раз из-за серии маловероятных ошибок.

По версии Microsoft, сначала один из процессов облачного сервиса почты «рухнул». IT-система в ходе его починки сделала «слепок» повреждённой области, но смонтировала его неверно – так, что внутри остался пресловутый ключ. Система должна была сама определить, что в аварийном дампе памяти осталась чувствительная информация, но этого не произошло. Поэтому инженеры были уверены, что дамп «чист» — и перенесли его как есть из изолированной части системы в среду отладки.

После этого «верительное сканирование» также ошиблось, не обнаружив ключ в массиве информации.

Хакерам же в это время удалось получить доступ к одному из корпоративных аккаунтов инженеров, что позволило им вторгнуться в среду отладки – и наткнуться там на ключ, который в принципе не должен был там находиться.

Записей, подтверждающих шаг за шагом путь ключа из защищённой области в открытую, у Microsoft нет, но свою версию компания считает «наиболее вероятной».

Интересно, что ключ был пользовательский, но хакерам с его помощью удалось взломать корпоративные аккаунты почты. Microsoft поясняет, что в 2018 году пользовалась метаданными обычных ключей для техподдержки и частных, и корпоративных аккаунтов. С тех пор не было произведено обновлений, разграничивших полномочия различных ключей, и почтовая система не видит разницы между ними.

Теперь, говорится в сообщении Microsoft, исправлены все описанные выше ошибки.

Из-за своего «пренебрежительного» отношения к кибербезопасности собственных сервисов корпорация попала под огонь критики, в том числе со стороны сенаторов и компаний-конкурентов, пишет издание.