Post #210

Китайский политический шпионаж? Выводы по взлому Майкрософт Неделю назад APT-группой, которую ассоциируют с Китаем, известной как Storm-0558, был произведен взлом клиентов почтовой инфраструктуры Майкрософт. И судя по описанному ниже, подтекст у этой истории чисто политический. Что известно на данный момент? - Были взломаны 25 организаций, использующих почту через OWA (Outlook Web Acccess) и Outlook.com. Основными целями атаки были дипломатические и экономические структуры США и ЕС, предположительно работающие в тесной связке с Тайванем. - Доступ к их ящикам электронной почты был получен через ранее неизвестную уязвимость подписи токенов Azure AD. Никто не предполагал, что неактивным ключем MSA(!) можно подписать подобные токены и получить доступ. Сейчас уязвимость устранена, подобная подпись не будет считаться валидной для почтовых сервисов. - Каким образом злоумышленники получили ключ подписи до сих пор неизвестно. Подпись аннулирована. - Майкрософт продолжают расследование. А вот теперь выводы из всего этого: 0day это далеко не всегда инъекция/переполнение буфера и подобное. Если вендоры вам говорят, что некие WAF/NGFW помогут вам избежать эксплуатации 0day, то далеко не всех и не всегда. В каком случае они точно не помогут? С уязвимостями логики приложения! Подобные уязвимости не найти техническими средствами, только человек может понять, что здесь что-то не так. Что подпись этим ключем не должна быть валидна для другого сервиса, как в случае с Майкрософт. Поэтому доверяйте проверку ваших сервисов профессионалам. Если даже у Майкрософт возникла такая проблема, то что уж говорить про сервисы меньшего размера? А приложенная картинка ... ну, так нейросетка видит один легендарный объект китайского фольклора,который китайское правительство регулярно использует после очередных обвинений в хакерских атаках.