ABD senatörü, Microsoft’un ‘ihmalkar siber güvenlik uygulamaları sebebiyle şikayet ediyor.
Microsoft, Çinli casus bilgisayar korsanlarının ABD Dışişleri ve Ticaret Bakanlığı yetkilileri de dahil olmak üzere bulut müşterilerinden yüzbinlerce e-posta çalmasına olanak tanıyan ‘ihmalkar siber güvenlik uygulamaları’ nedeniyle sorumlu tutuluyor.
Ron Wyden (D-Ore.) bir mektubunda, ‘’Microsoft’u ihmalinden sorumlu tutmak, tüm hükümetin çabasını gerektirecek.’’ şeklinde yazmıştı. Perşembe günü Adalet Bakanlığı, Siber Güvenlik ve Altyapı Güvenliği Dairesi ve Federal Ticaret Komisyonu başkalarına gönderildi.
Wyden’ın konuşmaları, Microsoft’un yakın zamanlı bir saldırıyla alakalı önemli detayları gizlediğini söyleyen diğer eleştirmelerin sözlerini yansıtıyor. Bugüne kadar olay ile ilgili açıklamalarda Microsoft, büyük kuruluşların tekli oturum açma ve iki faktörlü kimlik doğrulamayı yönetmek adına kullandığı Microsoft’un bulut tekliflerinin güçlendirilmiş bir parçası olan Azure Active Directory de içinde olmak üzere altyapısının ihlal edildiğini söylemekten geri durdu.
Eleştirmenler, Microsoft’un bu zamana kadar ifşa etmiş olduğu detayların, başarılı bir saldırıyı yapmak için Azure AD ve diğer bulut tekliflerinin kodundaki güvenlik ihlallerinden kaynaklandığına yönelik kaçınılmaz sonuca yol açtığını dile getirdiler.
Yazılım üreticisi ve bulut sağlayıcısı uzlaşmanın Azure AD ya da Exchange Online e-posta hizmetindeki açıkların tetiklenmesi nedeniyle olduğunu aktardı. Microsoft’un Tehdit İstihbaratı ekibi, o ülkenin hükümeti adına casusluk yapan Çinli bir bilgisayar korsan grubu olan Storm-0558’in 15 Mayıs’tan beri istismar ettiğini belirtti. İzinsiz giriş yapan Storm-0558, 25 kuruluşa ait hesabı ele geçirmiş.
Microsoft, bilgisayar korsanlarının şirketin en büyük müşterilerinden bazılarının e-postalarını nasıl takip ettiğini ‘kusur’, ‘hata’ ve ‘sorun’ benzeri terimlerle açıkladı. Bu tarz bir zayıflık, saldırganların, tüketicilerin Exchange hesaplarında oturum açması adına kullanılan, süresi dolan bir Microsoft Hesabı şifreleme anahtarını çalmasına müsaade etti. 13 gün öncesinde firma, Storm-0558’in anahtarı nasıl elde ettiğini şuan olarak bilmediğini ve o zamandan bu yana herhangi bir güncelleme yapılmadığını belirtti.
Microsoft, ‘derinlemesine bir analizin’ bilgisayar korsanlarının geçerli Azure AD oturum açma belirteçlerini kopyalayabilmek adına MSA olarak kısaltılmış olan Microsoft hesabını kullandıklarını tespit ettiğini belirtti. Microsoft, MSA anahtarlarının sadece tüketici hesapları için belirteçleri imzalamayı hedeflemiş olsa dahi, bilgisayar korsanları bunu Azure AD’e erişebilmek için belirteçleri imzalamak adına kullanmayı başarmış oldu. Microsoft sahteciliğin, Microsoft kodundaki bir doğrulama hatasıyla mümkün olduğunu aktardı.
Wyden, Microsoft’u ihlalden suçlu görmeleri için ABD Başsavcısı Merrick B. Garland, Siber Güvenlik ve Altyapı Güvenliği Dairesi Direktörü Jen Easterly ve Federal Ticaret Komisyonu Başkanı Lina Khan’a çağrı yaptı.
Microsoft’u Kremlin bilgisayar korsanlarının ağ yönetimi yazılımı üreticisi olan Austin, Texas’ın 18 bin kullanıcısını etkilemek adına kullanmış oldukları SolarWinds tedarik zinciri saldırısında oynadığı rolü saklamaktan sorumlu tuttu. Dokuz federal kurum ve 100 kuruluş da olmak üzere bu müşterilerin bir alt kümesi, ağlarını istismar eden müteakip saldırılarla karşı karşıya kaldı.
SolarWinds davasındaki bu uygulamaları, Ticaret ve Devlet Departmanlarının ve diğer büyük müşterilerin daha yakın tarihli ihlallerine neden olduğunu ifade ettiği uygulamalarla benzerlik gösterdiğini açıkladı.
Wyden’ın sözleri, güvenlik firması Wiz’den araştırmacıların bilgisayar korsanları tarafından çalınan MSA anahtarının onlara birden fazla Azure Active Directory uygulama türü için belirteç oluşturma yeteneği verdiğini bildirmesinden 6 gün sonra ulaştı. OneDrive, Teams, SharePoint ve bazı özel uygulamalar gibi kişisel hesap kimlik doğrulamasına destek veren bütün uygulamaları barındırır.
Wiz araştırma ekibi, ‘’Bu olayın tam etkisi, başlangıçta anladığımızdan çok daha büyük. Bu olayın buluta ve onu destekleyen temel bileşenlere, her şeyden önce bulutta yaptığımız her şeyin temel dokusu olan güvenimiz üzerinde uzun etkileri olacağına inanıyoruz. Bundan ders çıkarmalı ve kendimizi geliştirmeliyiz.’’ şeklinde yazdı.
