Haberler

Microsoft, Çinli Hackerların M365’e Yaptığı Saldırılar Hakkında Bilgi Paylaştı

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 14/07/2023
0 1 dakika okuma süresi

Microsoft Çinli APT grublarının M365 altyapılarına gerçekleştirdiği siber saldırılar hakkında bilgi verdi. Yapılan açıklama aşağıdaki gibi;

“Microsoft, Storm-0558 olarak takip ettiği Çin kökenli saldırı grubunun müşteri e-postalarını hedef alan saldırısını engellemiştir. Storm-0558, başlıca Batı Avrupa’daki hükümet kurumlarını hedef almakta ve casusluk, veri hırsızlığı ve kimlik bilgilerine erişim üzerine odaklanmaktadır. Müşterilerden gelen bilgilere dayanarak, 16 Haziran 2023 tarihinde anormal e-posta faaliyetlerini araştırmaya başlayan Microsoft, incelemeleri sonucunda Storm-0558’in 15 Mayıs 2023 tarihinden itibaren e-posta hesaplarına erişim sağladığını tespit etmiştir. Bu saldırı, hükümet kurumlarını ve bu kuruluşlarla ilişkili olası bireylerin hesaplarını da etkileyen yaklaşık 25 kuruluşu kapsamaktadır. Storm-0558, sahte kimlik doğrulama tokenları kullandılar. Microsoft, bu saldırıyı etkilenen tüm müşteriler hesaplar için koruma sağlamıştır.

Telemetri bilgilerimize göre, sahte kimlik doğrulama tokenları kullanarak Storm-0558’in müşteri e-postalarına yapılan saldırıları başarıyla engelledik. Müşterilerin herhangi bir aksiyon alması gerekmemektedir. Microsoft hedeflenen veya etkilenen tüm kuruluşlarla doğrudan iletişime geçmiş ve onlara soruşturma ve yanıt verme konusunda yardımcı olacak önemli bilgiler sağlamıştır. Bu kuruluşlarla yakın bir şekilde çalışmaya devam etmekteyiz. Eğer size herhangi bir iletişim ulaşmadıysa, saldırlardan etkilenmediğiniz anlamına gelmektedir.

Microsoft, etkilenen müşterileri korumak ve sorunu çözmek çin DHS CISA ve diğer kuruluşlarla iş birliği yapmaktadır. Storm-0558 faaliyetlerini araştırmaya ve izlemeye devam etmekteyiz.

Detaylar

Microsoft’in yaptığı araştırmalar, Storm-0558’in kullanıcı e-postalarına erişmek için Outlook Web Access (OWA) ve Outlook.com’da sahte kimlik doğrulama tokenları oluşturarak erişim sağladığını belirlemiştir.

Saldırgan, OWA ve Outlook.com’a erişmek için MSA key’ sahte token oluşturmak için kullanmıştır. MSA keyleri ve Azure AD keyleri ayrı sistemlerden çıkarılan ve yönetilen anahtarlar olup yalnızca kendi sistemleri için geçerli olması gerekmektedir. Saldırgan, token doğrulama zafiyetini istismar ederek Azure AD kullanıcılarını taklit edip kurumsal posta hesaplarına erişim sağlamıştır. Bu saldırıda Azure AD keyleri veya başka herhangi bir MSA keyi kullanıldığına dair bir işaret bulunmamaktadır.

Microsoft, elde edilen MSA keyleri engellemiş ve telemetri bilgilerimize göre saldırgan faaliyetlerini engellemiştir.

Araştırmamız ilerledikçe aşağıdaki önleyici adımları atmaya devam ediyoruz

Microsoft, OWA’da elde edilen MSA key ile imzalanan token kullanımını engelleyerek saldırganların kurumsal e-posta faaliyetlerini önlemiştir.
Microsoft, saldırganın bu keyleri kullanarak sahte token oluşturmasını engellemek için keylerin değiştirilmesini tamamlamıştır. Microsoft, etkilenen tüm müşterilerde bu key ile oluşturulan tokeların kullanımını engellemiştir.”

Kaynak: https://msrc.microsoft.com/blog/2023/07/microsoft-mitigates-china-based-threat-actor-storm-0558-targeting-of-customer-email/

Mehmet Sait YILMAZ fotoğrafı Mehmet Sait YILMAZ Bir e-posta göndermek 14/07/2023
0 1 dakika okuma süresi
Mehmet Sait YILMAZ fotoğrafı

Mehmet Sait YILMAZ

İlgili Makaleler

Kullanıcıların Dikkatine: PuTTY SSH’da Önemli Bir Güvenlik Açığı Tespit Edildi

17/04/2024

Microsoft Nisan 2024 Güncellemeleri SQL Reporting Services’de Sorunlara Neden Oluyor

16/04/2024

iPhone Kullanıcıları Dikkat! Acilen iMessage’i Kapatın

16/04/2024

Exchange Online’da Yeni External Recipient Rate Limit Değişiklikleri Açıklandı

15/04/2024

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu