Microsoft наконец-то объяснила причину взлома Azure: виноват свой инженер

Microsoft сообщила, что недавнее проникновение в ее корпоративную сеть, приведшее к взлому учетных записей Azure и Exchange, стало результатом взлома корпоративной учетной записи одного из инженеров «высококвалифицированным специалистом».

Угроза, идентифицированная как Storm-0558, получила доступ к корпоративной сети через учетную запись инженера, что позволило ей получить просроченный ключ подписи потребителя учетной записи Microsoft. Этот ключ использовался для подделки токенов для облачного сервиса Azure Active Directory.

Нарушение произошло во время стандартной операции crash dump, при которой данные, хранящиеся в памяти, записываются на диск в целях диагностики. В данном случае уязвимость не позволила отредактировать чувствительный ключ подписи из аварийного дампа, что дало злоумышленнику возможность получить к нему доступ. Затем Storm-0558 использовал этот ключ для компрометации учетной записи инженера, который имел доступ к отладочной среде, содержащей аварийный дамп.

Сообщение Microsoft проливает свет на факт взлома, но вызывает вопросы относительно хранения и извлечения ключей из предполагаемого аппаратного модуля безопасности (HSM).

Источник: Ferra