Siber Muhbir

İç Güvenlik Bakanlığı (DHS) tarafından Salı günü yayınlanan bulgular, izinsiz girişin önlenebilir olduğunu ve "Microsoft'un önlenebilir hataları" nedeniyle başarılı olduğunu ortaya koydu.

DHS yaptığı açıklamada, "Şirketin teknoloji ekosistemindeki merkeziliği ve müşterilerin verilerini ve operasyonlarını korumak için şirkete duydukları güven düzeyi ile çelişen, kurumsal güvenlik yatırımlarını ve titiz risk yönetimini önceliklendiren bir kurumsal kültüre toplu olarak işaret eden bir dizi Microsoft operasyonel ve stratejik kararı belirledi" dedi.

CSRB ayrıca, teknoloji devini uzlaşmayı kendi başına tespit edemediği için azarladı, bunun yerine ihlali işaretlemek için bir müşteriye güvendi. Ayrıca, Microsoft'u otomatik bir anahtar döndürme çözümünün geliştirilmesine öncelik vermediği ve mevcut tehdit ortamının ihtiyaçlarını karşılamak için eski altyapısını yeniden tasarlamadığı için suçladı.

Olay ilk olarak Temmuz 2023'te Microsoft'un Storm-0558'in 22 kuruluşa ve 500'den fazla ilgili bireysel tüketici hesabına yetkisiz erişim sağladığını açıklamasıyla ortaya çıktı.

Microsoft daha sonra kaynak kodundaki bir doğrulama hatasının, Azure Active Directory (Azure AD) belirteçlerinin bir Microsoft hesabı (MSA) tüketici imzalama anahtarı kullanılarak Storm-0558 tarafından taklit edilmesini mümkün kıldığını ve böylece saldırganın posta kutularına sızmasına izin verdiğini söyledi.

Eylül 2023'te şirket, Storm-0558'in, yanlışlıkla imzalama anahtarını da içeren tüketici imzalama sisteminin çökme dökümünü barındıran bir hata ayıklama ortamına erişimi olan bir mühendisin kurumsal hesabını tehlikeye atarak belirteçleri taklit etmek için tüketici imzalama anahtarını aldığını açıkladı.

Microsoft o zamandan beri Mart 2024 güncellemesinde bunun yanlış olduğunu ve hala "etkilenen anahtar materyali içeren bir kilitlenme dökümü" bulamadığını kabul etti. Ayrıca, saldırıyla ilgili soruşturmasının devam ettiğini söyledi.

"Önde gelen hipotezimiz, operasyonel hataların, daha sonra güvenliği ihlal edilmiş bir mühendislik hesabı aracılığıyla bir hata ayıklama ortamında erişilen güvenli token imzalama ortamından ayrılan önemli materyalle sonuçlandığı yönünde" dedi.

Bir Microsoft sözcüsü The Washington Post'a verdiği demeçte, "Son olaylar, kendi ağlarımızda yeni bir mühendislik güvenliği kültürünü benimseme ihtiyacını gösterdi" dedi.

Mayıs 2023'te başlayan kampanya boyunca Outlook hesaplarından 60.000 kadar sınıflandırılmamış e-postanın sızdırıldığına inanılıyor. Çin, saldırının arkasında olduğu yönündeki suçlamaları reddetti.

Bu Şubat ayının başlarında Redmond, karmaşık siber saldırıları algılamalarına, yanıtlamalarına ve önlemelerine yardımcı olmak için lisans katmanından bağımsız olarak Microsoft Purview Audit'i kullanan tüm ABD federal kurumlarına ücretsiz günlük kaydı özelliklerini genişletti.

CSRB Başkan Vekili Dmitri Alperovitch, "Bu saldırıdan sorumlu tehdit aktörü, yirmi yılı aşkın bir süredir endüstri tarafından izleniyor ve 2009 Aurora Operasyonu ve 2011 RSA SecureID uzlaşmalarıyla bağlantılı" dedi.

"Çin Halk Cumhuriyeti'ne bağlı bu bilgisayar korsanları grubu, Çin hükümetiyle ilgilenen kişilerin e-postaları da dahil olmak üzere hassas verilere erişmek için kimlik sistemlerini tehlikeye atma yeteneğine ve niyetine sahiptir."

Devlet destekli aktörlerden gelen tehditlere karşı korunmak için bulut hizmeti sağlayıcılarına şunları yapmaları önerilmiştir:

• Modern kontrol mekanizmalarını ve temel uygulamaları uygulayın
• Bulut hizmetlerinde varsayılan denetim günlüğü için en düşük standardı benimseyin
• Bulut hizmetlerinin güvenliğini sağlamak için gelişmekte olan dijital kimlik standartlarını dahil edin
• Şeffaflığı en üst düzeye çıkarmak için olay ve güvenlik açığı açıklama uygulamalarını benimseyin
• Bilgi paylaşımı çabalarını yönlendirmek için daha etkili mağdur bildirim ve destek mekanizmaları geliştirin

CSRB, "Amerika Birleşik Devletleri hükümeti, Federal Risk Yetkilendirme Yönetimi Programını ve destekleyici çerçeveleri güncellemeli ve özellikle yüksek etkili durumların ardından programın yetkili Bulut Hizmeti Tekliflerinin isteğe bağlı özel incelemelerini yürütmek için bir süreç oluşturmalıdır" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.