Microsoft: Chinese hackers stalen signingkey via crashdump en gehackt account

https://msrc.microsoft.co...orm-0558-key-acquisition/

After April 2021, when the key was leaked to the corporate environment in the crash dump, the Storm-0558 actor was able to successfully compromise a Microsoft engineer’s corporate account. This account had access to the debugging environment containing the crash dump which incorrectly contained the key. Due to log retention policies, we don’t have logs with specific evidence of this exfiltration by this actor, but this was the most probable mechanism by which the actor acquired the key.

Niets open en bloot naar het internet open.

Omdat er Covid was en mensen vanaf remote ergens bij moesten kunnen?
En typisch heeft een non-prod geen gevoelige productie data... toch?

In de praktijk zijn er ook mensen die boos worden als ze hun Windows server/Applicatie niet met productie data mogen testen voordat ze de machine overzetten naar een prod environnement.

In de praktijk zijn er nog veel mensen die geen representatieve test data kunnen maken zonder simpelweg een op een data, met hooguit wat maskering of pseudoniemisering, van productie te slepen. Sterker nog die maskering gebeurt vaak pas als de data in non-prod aan komt, als die al gebeurd.

[Reactie gewijzigd door djwice op 23 juli 2024 01:12]

Waarom zou je een debugging omgeving benaderbaar willen hebben via het internet? Zoals ik dit interpreteer zou dat betekenen dat het open en bloot naar het internet toe open stond. Ik kan me niet voorstellen dat MS een dergelijke blunder maakt.

Het is inderdaad een behoorlijke blunder, toch ben ik er vrij mild over dit stuk van het probleem. Shit happens. Mensen maken fouten. Daar moet je rekening mee houden zodat je een enkele fout geen grote gevolgen heeft. Die dump had niet openlijk online moeten staan maar eigenlijk vind ik dat maar een kleine fout.
Een groter probleem is dat die key niet in de dump had moeten staan. Of om precies te zijn had de key niet in de RAM moeten staan. Het probleem zit niet bij de dump. Als die key niet in een dump mag dan mag ie ook niet in RAM. MS probeert te voorkomen dat dergelijk info in dumps terecht komt maar dat moet je als extra beveiliging tegen blunders zien, niet als oplossing voor het probleem. Die detectie heeft hier niet goed gewerkt maar ook dat zie ik als kleine fout. De intentie was goed, de implementatie minder. Shit happens.

In veel gevallen zou ik dat nog steeds als een kleine fout zien of een acceptabel risico vanuit het oogpunt van de developer. Hoewel dit probleem helemaal te voorkomen is door een HSM te gebruiken is dat helaas geen algemene kennis. Maar in dit geval zijn er verzwarende omstandigheden. We hebben het namelijk over een 'signingsysteem'. Nu wordt het een gevalletje "you had one job...". Van de ontwerper van een signingsysteem verwacht ik wel dat die weet wat een HSM is en hoe je daar mee om moet gaan. Dat is geen kleine menselijke vergissing meer maar een fundamenteel gebrek aan kennis van je vak.
Ik weet niet wie dat signingsysteem heeft ontwikkeld, MS of de klant/partner maar het is in ieder geval niet goed.

Er is echter nog een groot probleem dat nog niet genoeg aandacht heeft gehad. Namelijk dat deze aanval al 2 jaar bezig is en gebruik maakt van een certificaat dat a) teveel rechten heeft en b) niet gecontroleerd werd op juistheid. Gebruikers van het certificaat gingen er onterecht van uit dat het wel elders in het systeem gecontroleerd zou worden. Ik heb moeite om dat nog onder "kleine menselijke" fouten te schuiven want we komen nu weer op het terrein waar alleen specialisten zouden moeten werken. Als je bij de deur staat om kaartjes te controleren kun je niet zeggen dat je er van uit ging dat iemand anders het kaartje al gecontroleerd zou hebben. Zelfs als dat waar is dan blijft het jouw opdracht om het kaartje te controleren.

Wat mij betreft is dit veel groter nieuws dan het uitlekken van zo'n sleutel. Dat sleutels uitlekken is onvermijdelijk en het systeem (certificaten) is opgezet om daar rekening mee te houden. Dat er af en toe een sleutel lekt zou geen groot nieuws hoeven zijn. Het is nu wel een groot probleem geworden omdat de sleutel niet gecontroleerd werd.

Een ander punt wat meer aandacht zou moeten krijgen is dat het erg moeilijk blijkt om zo'n sleutel daadwerkelijk in te trekken. Zoals ik hierboven al aangaf is het systeem opgezet om rekening te houden met het verlies van sleutels. Die trek je dan in en je geeft een nieuwe uit en je vervangt alle sloten (de gesignede applicaties) en dan is het probleem weer opgelost, in theorie. In praktijk blijkt het vrijwel onmogelijk om de sloten te vervangen (de apps opnieuw te signen). De leverancier heeft geen zin om opnieuw geld/moeite/tijd wil investeren in zo'n oude applicatie. Als de leverancier uberhaupt nog gevonden kan worden en die de broncode en ontwikkelaars nog beschikbaar heeft. Als de leverancier niet meewerkt dan valt die software uit als de key wordt uitgeschakeld. De gebruiker gaan dan bij MS klagen dat MS hun software stuk heeft gemaakt. Ik snap ook wel dat MS geen zin heeft om daar de schuld van te krijgen.

Hoewel ik het allemaal kan begrijpen is de conclusie niet mals: het systeem werkt niet goed. Als puntje bij paaltje komt zijn wij (of MS) eigenlijk niet bereid om de stekker er uit te trekken want dat levert heel veel gezeik op.

Het zou veel verschil maken als we ons wat actiever zouden opstellen en zelf beslissen welke sleutels we op ons systeem hebben staan. Ik weet niet of het (praktisch gezien) mogelijk is om zelf deze sleutels selectief in te trekken. Ik neem aan dat die keys gewoon in de keystore staan en daar dus ook uitgehaald kunnen worden door de gebruiker, mits die weet welke sleutel waar voor gebruikt wordt.

Op Linux-servers ben ik gewend alle (CA) certificaten te verwijderen die ik niet nodig heb. Zeker in een besloten omgeving heb je er niet meer dan een handvol nodig. Dat is niks voor een consumentendesktop maar in een zakelijke (beheerde) omgeving zou het wel eens interessant kunnen zijn.

Tja, elke RDP en Citrix omgeving staat ook open en bloot het internet op en wordt afgeschermd door credentials. In dit geval zal het wel een Azure VM zijn geweest. Die credentials hebben ze ook te pakken gekregen.
Je kunt ze hooguit verwijten dat er blijkbaar geen conditional access actief was, want die had een plotselinge inlog van een andere locatie opgemerkt en geblokkeerd door bv. te vragen naar MFA als extra beveiliging omdat er een anomalie is gedetecteerd.

Zoals ik dit interpreteer zou dat betekenen dat het open en bloot naar het internet toe open stond.

Je trekt wel een conclusie die je op basis van de beschikbare informatie niet kan trekken imho; "via internet bereikbaar was" zegt niet dat het zonder beveiliging of bijvoorbeeld authenticatie te bereiken is. Een toegang via VPN met bv MFA beschermd is nog steeds "via het internet te bereiken".

Dat is niet helemaal zo: https://security.stackexc...ept-out-of-program-memory

HSMs hold the key and can perform tasks that use the key, for example generating signatures, without the key ever being known outside the HSM. An HSM is not a box you keep an encryption key in, to be loaded out when it is used - the key stays in the box, the HSM is designed to never egress the key.

However, if your threat model includes attackers that have physical access to RAM, you have no hope. Thats like asking if it is possible to keep thieves out of your house while allowing them into all the rooms.

Hackers die Microsoft aanduidt als de groep Storm-0558

Het is de naam die Microsoft de hackers gegeven heeft.

Als je op Unix/Linux rechten doelt, dat zal het niet zijn. Die zijn octaal en een 8 past daar niet in