Čína ukradla podpisové klíče MS Azure AD

Podpisové klíče MS Azure AD byly ukradeny a následně byly využity k nabourání se do amerických vládních emailových schránek v MS Azure pomocí falešných ověřovacích tokenů. První problém byl, že MS neměl klíče dobře zabezpečeny (nechával je v exportovatelném formátu v nějakém programu), dalším problémem bylo, že MS Azure akceptoval vypršené klíče. MS zároveň neposkytl podrobnosti o tom, co se stalo (problém bude asi závažnější). Je velmi pravděpodobné, že Čína má k dispozici zdrojové kódy jak MS produktů, tak i MS Azure. Údajně je získala kvůli malware, který Rusko zaneslo do aktualizace produktu SolarWinds. Tuto aktualizaci si údajně stáhlo kolem 14 000 klientů a je velmi pravděpodobné, že infrastruktury těchto klientů (včetně MS) byly napadeny / vykradeny ještě před tím, než se na malware přišlo a byl odstraněn. Podrobnější informace v Microsoft Signing Key Stolen by Chinese.

No, zjavne sa ešte máme veľa čo učiť ohľadom počítačovej bezpečnosti od tohoto giganta ;-)

7.8.2023 16:32 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Pokud je to všechno pravda, tak je to hustý a jsou tam vidět ty následky. Pokud jsou odhady správné, tak v tom roce 2021, nebo kdy to bylo, infikovali SolarWinds, což jsou produkty na správu a patchování a další věci. Prostě security nástroj. Takže big fail pro SolarWinds. On totiž myslím také funguje na bázi agentů, prostě musí mít admin přístup na koncové stanice/servery atd. Stačí tedy infikovat jeden tento bod a je to celé v řiti. Nicméně i tak by měly zafungovat doprovodné nástroje (IDS, AV apod.)
Zdar Max

Měl jsem sen ... :(

7.8.2023 17:16 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Ids a AV nezafunguji protoze tyhle utorky prichazeji z duveryhodnych zdroju. Typicky si korporat whitelistuje cely azure protoze je to min srani se security, whitelistuje se cokoliv podepsane microsoftem (a typicky se nehledi na nejaky smysluplny certifikat ale treba na vydavatele do ktereho si muzu napsat co chci a nejaky trusted root toho certifikatu nikdo neoveruje), typicky ta security v korporatech je spatne i kdyz do toho lejou miliony $$$. Jedna z mych firem dela penetracni testovani a ziskat domain admina v korporatech jde docela snadno.

7.8.2023 18:32 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Tak upřímně, u nás se už také podařilo získat penetrační firmě domain admina, z toho jednou opravdu hustě. Každopádně pokaždé naše sondy něco v síti odhalí, takže i když se penetrátor snaží neinvazivně něco lusknout, tak o něm většinou víme třeba do 30 min, vždy se nějak prozradí. A jakmile zkusí být invazivnější, tak to víme hned. A nejsou to jen hlášky různých honeypotů, analyzátorů logů atd., ale zafunguje i ADS. Neříkám, že zabezpečení je dokonalé, ale také jsme do toho nenarvali žádné velké finance a naučili jsme se částečně z ADS, vlastního penetračního testování a z externího testování. Od firmy typu MS bych ale čekal něco víc. A také bych očekával, že něco jako whitelist v podobných firmách neexistuje. My také snad nic newhitelistujeme a jde to.
Zdar Max

Měl jsem sen ... :(

7.8.2023 17:17 _
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

https://unlimitedhangout.com/2021/01/investigative-reports/another-mega-group-spy-scandal-samanage-sabotage-and-the-solarwinds-hack/

7.8.2023 20:22 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Stačí tedy infikovat jeden tento bod a je to celé v řiti.

Což je ten problém – chybný návrh. Další problém je proprietární software.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

7.8.2023 20:44 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Ale prd. Takovych security expertu kteri navrhno totalne bezpecne ale nepouzitelne reseni jsem jiz videl. Typicky potrebujes zarizeni v siti nejak spravovat, coz znamena mit nejake certifikaty nebo ucty kterym ty zarizeni budou duverovat. Kdyz ti nekdo ukradne tvuj ssh klic i s heslem tak se dostane vsude kam mas pristup. To same solarwinds, sccm, intune a desitky dalsich podobnych reseni.

7.8.2023 22:15 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Správa systémů, úrovně oprávnění, bezpečnost

Např. zálohování lze řešit tak, že:

zálohovaný stroj může vytvářet nové zálohy na zálohovacím serveru, ale nemůže číst natož mazat ty staré (takže jeho kompromitace ty zálohy neohrozí)
zálohovací server nemá přístup na zálohované stroje (takže jeho kompromitace je neohrozí), maximálně kontroluje, zda záloha v definovaném intervalu proběhla a případně pošle upozornění správci
zálohy můžou být asymetricky šifrované, soukromý klíč je uložen offline a použije se jen v nutných případech (takže ani kompromitace zálohovacího serveru nezpůsobí únik dat)

Přesto se na to často kašle.

U té vzdálené správy jde ta práva omezit aspoň částečně - nemusí to být plný přístup, kdy je ten spravovaný server vydán zcela napospas – ty příkazy můžou procházet přes nějaký filtr/agenta, který propustí jen něco. Pravidelně prováděné akce se můžou vykonat plně automaticky, zatímco ty nestandardní budou vyžadovat další potvrzení. Příkazy můžou být podepsané klíčem správce na jeho počítači (třeba i kartou/tokenem s explicitním potvrzením). Tzn. rozlišit různé úrovně – např. na AbcLinuxu se taky přihlašuješ jednodušším způsobem, než když zadáváš platební příkaz v bance. Hlavně jde ale o minimalizaci množství kritického kódu, ve kterém může být chyba nebo zadní vrátka + samozřejmě otevřenost (svobodný software).

Systém složený z autonomních podsystémů, které mezi sebou spolupracují, je odolnější vůči útokům než nějaké SPoF řešení. Byť uznávám, že ta správa a návrh jsou náročnější. Celkově mi to ale vychází líp, než navrhnout z principu nebezpečný systém a následně se ho snažit zabezpečit. A nejsmutnější je, když si někdo koupí proprietární řešení, které má zvýšit bezpečnost, ale ve reálně ji naopak snižuje.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

8.8.2023 00:25 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Správa systémů, úrovně oprávnění, bezpečnost

Zalohovani se da udelat bezpecne ale tu spravu stroju neudelas bezpecne nijak. Vzdy to bude mit nejake omezeni co se tyce bezpecnosti. A ne, opravdu nechces aby v noci nekde sedelo par lidi kvuli patchovani treba 100tis desktopu.

7.8.2023 23:09 luky
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Kdyz ti nekdo ukradne tvuj ssh klic i s heslem tak se dostane vsude kam mas pristup. To same solarwinds, sccm, intune a desitky dalsich podobnych reseni.

Klic muze byt v HW, pak nejde ukrast aniz by se fyzicky ukradl ten HW, coz je mnohem tezsi udelat nepozorovane.

8.8.2023 00:26 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Samozrejme, ale pak jsou tady ruzne servisni ucty treba pro sccm nebo nejakou jinou picovinu a tomu klic v hw nebo hsm nepodstrcis.

7.8.2023 20:27 Hacker :-)
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

ne neni ale ty tomu veris a ani nevis kdo za tim tvym zdrojem stoji

8.8.2023 08:44 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Co není pravda? Resp. na co reaguješ? Je tam totiž spousta otazníků:
Je nebo není hacker z Ruska zodpovědný za infikování SolarWinds?
Ukradla Čína ty klíče, nebo někdo jiný?
Jak přesně je ukradli?
Skutečně vytěžili zdrojové kódy některých MS produktů?

Otázek je spousta, ale všichni tak nějak mlčí. To, zda je za to zodpovědný ruský, čínský, či jiný hacker je asi šumák. Spíše je důležité, zda to, o čem se mluví, nastalo, nebo ne. Tj. krádež klíčů, bezproblémové použití vypršených klíčů, zda byly některé zdrojové kódy vytěženy atd.
Zdar Max

Měl jsem sen ... :(

9.8.2023 16:52 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Čína ukradla podpisové klíče MS Azure AD

Microsoft podporuje open-source, tak postupně zveřejňují zdrojové kódy svých produktů. Akorát to nevzali postupně podle produktů, ale geograficky.

Quando omni flunkus moritati

Čína ukradla podpisové klíče MS Azure AD

Komentáře