ملخص
- لم يتمكن Storm-0558 من تجاوز ضوابط كلمة المرور لإحدى الوكالات الفيدرالية. استخدم مفتاح توقيع استهلاكي من Microsoft لتصنيع رموز هوية تبدو صالحة، ثم استفاد من عيب تحقق من Microsoft سمح لتلك الرموز الموقعة استهلاكياً بالوصول إلى بريد Exchange Online المؤسسي.
- لا يزال مسار الحصول على المفتاح غير محلول. تم لاحقاً تضييق تفسير Microsoft لتفريغ التعطل في سبتمبر 2023 إلى فرضية رئيسية بعد أن اعترفت الشركة بأنها لم تجد تفريغ تعطل يحتوي على المفتاح أو سجلات تثبت التسريب. المفتاح القديم، وعيب التحقق عبر الحدود، وضعف كشف الحالات الشاذة في الرموز، والاحتفاظ المحدود بالأدلة الجنائية هي نتائج فشل مدعومة بشكل أفضل.
- المساءلة تتبع القدرة على التحكم. Microsoft وحدها يمكنها تدوير مفتاح المنصة، وتصحيح أداة التحقق من جانب الخدمة، واكتشاف مجموعات الرموز المستحيلة عبر سحابتها، والاحتفاظ بالأدلة الداخلية ذات الصلة، وإغلاق ناقل الهجوم. يمكن للعملاء تحسين المراقبة والاستجابة، لكن في 2023، كانت بيانات التتبع الحاسمة MailItemsAccessed مرتبطة بترخيص E5/G5 الأعلى سعراً.
فشل في التحكم بالهوية، وليس اختراقاً تقليدياً لصندوق البريد
من السهل اختصار اختراق Storm-0558 في جملة مألوفة: قراصنة صينيون سرقوا مفتاح Microsoft وقرأوا البريد الحكومي. هذه الجملة صحيحة من حيث الاتجاه ولكنها غير كافية تحليلياً. إنها تدمج فعل المهاجم، وفقدان Microsoft غير المحلول للمواد المشفرة، وعيب منفصل في التحقق من البرامج، وقرار دورة حياة مفتاح قديم، ونجاح كشف من جانب العميل، واستجابة مزود الخدمة في حدث واحد. بمجرد فصل هذه الآليات، يصبح تخصيص المسؤولية أكثر وضوحاً.
لم يكن الاختراق في المقام الأول حالة قيام موظف حكومي بتسليم كلمة مرور، أو فشل وكالة في تطبيق المصادقة متعددة العوامل، أو خادم غير محدث داخل وزارة. كان Storm-0558 يمتلك النصف الخاص من مفتاح توقيع استهلاكي لـ Microsoft Account (MSA) تم إنشاؤه في عام 2016. يسمح مفتاح التوقيع الخاص لحامله بإنتاج رموز يمكن التحقق من توقيعاتها مقابل المفتاح العام المقابل. وبالتالي يمكن للجهة الفاعلة تأكيد الهويات دون الحصول على كلمات مرور الضحايا. سمح عيب ثانٍ من Microsoft لمفتاح مخصص للحسابات الاستهلاكية بمصادقة الطلبات ضد Exchange Online المؤسسي. وكانت النتيجة قدرة انتحال على مستوى المنصة عبرت الحدود بين أنظمة هوية Microsoft الاستهلاكية والمؤسسية.
يشرحالتحليل الفني لـ Microsoft في يوليو 2023الآلية الأساسية: قامت الجهة الفاعلة بتزوير رموز Azure Active Directory باستخدام المفتاح الاستهلاكي الذي تم الحصول عليه، واستخدمت تدفق Outlook Web Access الشرعي، وحصلت على رموز Exchange Online من خلال واجهة GetAccessTokenForResource، واسترجعت البريد عبر واجهة برمجة تطبيقات OWA. قالت Microsoft إن عيباً في التصميم سمح أيضاً للجهة الفاعلة بالحصول على رموز وصول جديدة من خلال تقديم رمز تم إصداره سابقاً بواسطة تلك الواجهة. لم يكن هذا مجرد إعادة تشغيل لبيانات اعتماد مسروقة. كان تصنيعاً وتجديداً غير مصرح به لبيانات الاعتماد التي تعاملت معها خدمات Microsoft على أنها صالحة.
التمييز مهم للمساءلة السحابية. يظل العملاء عادة مسؤولين عن هوياتهم ونظافة أجهزتهم وأذوناتهم وتطبيقاتهم واستجابة الحوادث. لكن لا يمكن للعميل فحص أو تدوير مواد التوقيع الجذرية لمزود الخدمة السحابية، أو تصحيح أداة التحقق من الرموز في بيئة الإنتاج، أو نشر كاشف داخل مستوى إصدار الهوية الخاص بالمزود. عندما ينشأ الفشل في عناصر التحكم المتاحة فقط للمزود، فإن وصف الحدث كمشكلة مسؤولية مشتركة دون تحديد من يتحكم في أي إجراء وقائي يخفي أكثر مما يوضح.
من المهم أيضاً عدم تصنيف الحدث على أنه انقطاع في الخدمة. لا يُظهر السجل العام أن Exchange Online أصبح غير متاح للوكالات المتضررة. كان الضرر يتمثل في فقدان السرية والاتصالات الموثوقة، متبوعاً بعبء تحقيق كبير. تشمل استمرارية القطاع العام أكثر من مجرد الحفاظ على إمكانية الوصول إلى الخدمة. يعتمد العمل الدبلوماسي والاقتصادي والتشريعي والأمني على قدرة المسؤولين على استخدام نظام اتصالات دون أن يقرأه خصم بصمت. يمكن أن تظل السحابة "قيد التشغيل" تقنياً بينما تصبح الوظيفة العامة التي تدعمها أقل موثوقية.
ما هو مثبت، وما هو مستنتج، وما لا يزال غير معروف
يجب أن تظل ثلاث فئات أدلة منفصلة.
أولاً، يثبت السجل العام بشكل ثابت أن Storm-0558 استخدم مفتاح توقيع استهلاكي MSA من Microsoft تم إنشاؤه في 2016 لتزوير الرموز؛ وأن عيب تحقق من Microsoft سمح لهذه الرموز بالوصول إلى حسابات Exchange Online المؤسسية؛ وأن وزارة الخارجية وجدت نشاطاً مشبوهاً من خلال سجلات الوصول المحسنة إلى صندوق البريد؛ وأن Microsoft خففت من الأسلوب المعروف من خلال سلسلة من التغييرات على جانب الخدمة. تتقارب إفصاحات Microsoft، واستشارة استجابة CISA، وبيانات الوكالات المتضررة، وإعادة بناء مجلس مراجعة السلامة السيبرانية على هذه النقاط.
ثانياً، توصل مجلس مراجعة السلامة السيبرانية (CSRB) إلى نتائج حول إمكانية المنع، وتصميم التحكم، وثقافة الأمان، والإفصاح، والممارسة الصناعية. خلصمراجعته الكاملة لاختراق صيف 2023إلى أن الحادث كان يمكن منعه ويجب ألا يحدث أبداً. أجرى المجلس مقابلات مع 20 منظمة، وتلقى تعاون Microsoft، وقارن الضوابط في مزودي خدمات سحابية رئيسيين آخرين، ووجد سلسلة من الإخفاقات التي يمكن تجنبها. هذه نتائج مراجعة مستقلة، وليست نتائج قضائية، لكنها أقوى بكثير من التعليقات القائمة فقط على مدونات Microsoft المبكرة.
ثالثاً، لا يزال الطريق الفعلي الذي حصل من خلاله Storm-0558 على المفتاح الخاص لعام 2016 غير معروف في السجل العام. هذا عدم اليقين مركزي. نشرت Microsoft قصة مفصلة عن تفريغ التعطل في سبتمبر 2023، ثم أضافت تصحيحاً في مارس 2024 ذكرت فيه أنها لم تجد تفريغ تعطل يحتوي على مواد المفتاح المتأثر. أفاد CSRB أن Microsoft استكشفت 46 فرضية لسرقة المفتاح وما زالت لا تعرف كيف أو متى حصلت الجهة الفاعلة على المفتاح. أي حساب يقدم تفريغ التعطل كسبب جذري مثبت يبالغ في الأدلة.
كما لا يحدد السجل التخصيص القانوني النهائي للخسارة. التدقيق الكونغرسي، وطلبات التحقيق، وقبول Microsoft لنتائج CSRB ذات صلة بالمساءلة. إنها ليست بديلاً عن حكم محكمة، أو قرار إنفاذ وكالة، أو تفسير تعاقدي، أو تحليل أضرار قابل للتحديد. الاستنتاج الصحيح أضيق: سيطرت Microsoft على العديد من الضمانات الفاشلة وقبلت المسؤولية عن القضايا التي ذكرها CSRB؛ لا تحدد المصادر المتاحة المسؤولية المدنية أو الجنائية أو التنظيمية النهائية.
التسلسل الزمني للأدلة الجنائية
2016-2021: مفتاح طويل العمر وهجرة مؤجلة
أنشأت Microsoft مفتاح التوقيع الاستهلاكي في عام 2016. عمر المفتاح ليس بحد ذاته دليلاً على عدم الأمان، لكن عمر المفتاح يصبح مادياً عندما لا تستطيع المنظمة إظهار الحيازة المستمرة بثقة وعندما يحد التناوب من العمر الافتراضي للمواد المسروقة. وجد CSRB أن نظام MSA الاستهلاكي لـ Microsoft اعتمد على التناوب اليدوي، بينما انتقل نظام الهوية المؤسسية نحو الأتمتة. كانت الشركة تنوي ترحيل النظام الاستهلاكي إلى التكنولوجيا الآلية ولكنها لم تكمل هذا العمل قبل الاختراق.
وفقاً لـ CSRB، أوقفت Microsoft التناوب اليدوي لمفاتيح التوقيع الاستهلاكية في عام 2021 بعد انقطاع رئيسي للسحابة مرتبط بالعملية اليدوية. لم تنشر بعد ذلك بديلاً للتناوب الآلي أو تنبيهاً يخطر الفرق المسؤولة عن المفاتيح النشطة القديمة. لذلك ظل مفتاح 2016 مقبولاً في عام 2023. هذا قرار كلاسيكي بين التوفر والأمان بتكلفة مؤجلة مخفية: قد يؤدي إيقاف إجراء يدوي محفوف بالمخاطر إلى تقليل مخاطر الانقطاع الفوري، لكن ترك الأتمتة التعويضية غير مكتملة يبقي التعرض الأمني إلى أجل غير مسمى.
نتيجة المجلس أكثر فائدة من القول ببساطة أن مفتاحاً "منتهياً" عمل. يتم قبول المفتاح أو رفضه وفقاً لتكوين الثقة المباشر للخدمة. كان الفشل الحاسم هو أن مفتاحاً كان من المقرر إيقاف تشغيله ظل ضمن مجموعة الثقة. يقولدليل تناوب مفاتيح التوقيع الحالي لـ Microsoftإن التطبيقات يجب أن تتعامل مع التناوب الدوري والطارئ برمجياً ويوصي بالمكتبات القياسية لتجنب العيوب الدقيقة. يصف هذا الإرشاد سلوك التحقق المواجه للعميل، لكن المبدأ الأساسي ينطبق على نطاق أوسع: يجب أن يكون استبدال المفتاح قدرة هندسية، وليس طقساً هشاً يصبح تنفيذه محفوفاً بالمخاطر.
في سبتمبر 2018، قدمت Microsoft نقطة نهاية مشتركة لنشر بيانات تعريف المفتاح استجابة للطلب على التطبيقات التي تخدم المستخدمين الاستهلاكيين والمؤسسيين على حد سواء. قال حساب Microsoft اللاحق إن الوثائق تم تحديثها لشرح التحقق من نطاق المفتاح، ولكن لم يتم تحديث المكتبات المساعدة لفرض هذا النطاق تلقائياً. بدأت أنظمة بريد Exchange في استخدام نقطة النهاية المشتركة لبيانات التعريف في عام 2022. افترض المطورون أن المكتبة تؤدي التحقق الكامل ولم يضيفوا فحص المُصدر أو النطاق المطلوب. لذلك زادت نقطة النهاية المشتركة من قابلية التشغيل البيني مع خلق خطر حدود الثقة: تم الخلط بين الصحة التشفيرية والتفويض داخل مجال الهوية الصحيح.
يضع إعادة بناء CSRB حدثاً آخر ذا صلة في عام 2021. اخترق Storm-0558 شبكة Microsoft المؤسسية من خلال حساب مهندس بين أبريل وأغسطس. عمل المهندس لصالح Affirmed Networks، التي استحوذت عليها Microsoft في عام 2020؛ اعتقدت Microsoft أن الجهاز قد تم اختراقه قبل الاستحواذ واتصل لاحقاً ببيئة Microsoft باستخدام بيانات اعتماد مؤسسية. التقطت الجهة الفاعلة رمز مصادقة وأعادت تشغيله ووصلت إلى مواد في SharePoint، بما في ذلك معلومات متعلقة بإدارة خدمة Azure والهوية. انتقد المجلس Microsoft لفشلها في اكتشاف جهاز الشركة المستحوذ عليها المخترق قبل السماح له بالدخول إلى الشبكة المؤسسية.
هذا الاختراق في 2021 هو دليل على وصول المهاجم واهتمامه. إنه ليس دليلاً على أن الجهة الفاعلة حصلت على مفتاح MSA لعام 2016 في ذلك الوقت. أخبرت Microsoft المجلس أن اختراق 2021 كان مرتبطاً على الأرجح لأنه كان الاختراق الوحيد الآخر المعروف لـ Storm-0558 لشبكة Microsoft في الذاكرة المسجلة، لكن الشركة لم تقدم دليلاً محدداً يربطه بسرقة المفتاح. يجب أن يحافظ الحساب المنضبط على هذه الفجوة.
مايو-يونيو 2023: يبدأ الوصول قبل أن يكتشفه المزود
أنشأ Storm-0558 بنية تحتية خارجية محددة وبدأ في الوصول إلى حسابات Exchange Online المستهدفة بحلول 15 مايو 2023. حذر CSRB من أن نافذة الاختراق ربما بدأت في وقت سابق لأن فترة الاحتفاظ بالسجلات القياسية البالغة 30 يوماً قيدت النظرة الاستعادية المتاحة بمجرد بدء التحقيق. "أول ظهور" هو بالتالي حد أدلي، وليس بالضرورة البداية الحقيقية للهجوم.
عكست الأهداف أولويات التجسس. حدد المحاسبة النهائية لـ CSRB 22 منظمة وأكثر من 500 فرد حول العالم، بما في ذلك ضحايا في الولايات المتحدة والمملكة المتحدة وأماكن أخرى. تضمنت الحسابات حسابات وزيرة التجارة Gina Raimondo، والسفير الأمريكي لدى الصين R. Nicholas Burns، ومساعد وزير الخارجية لشؤون شرق آسيا والمحيط الهادئ Daniel Kritenbrink، وعضو الكونغرس Don Bacon. أشارإشعار الحادث الأولي لـ Microsoft في 11 يوليوإلى حوالي 25 منظمة وحسابات استهلاكية ذات صلة. من الأفضل معاملة الفرق على أنه تغيير في محاسبة الحادث بين إشعار الشركة المبكر وإعادة البناء المستقل اللاحق، وليس كدليل على اختراق جديد.
وزارة الخارجية، وليس Microsoft، هي من اكتشفت الحملة. في 15 يونيو، لاحظ مركز عمليات الأمن في الوزارة حالات شاذة. في 16 يونيو، أنشأت قاعدة مخصصة تعرف داخلياً باسم Big Yellow Taxi تنبيهاً من حدث تدقيق MailItemsAccessed، الذي يسجل الوصول إلى عناصر صندوق بريد Exchange Online. حققت الوزارة على الرغم من احتمال وجود نتائج إيجابية خاطئة واتصلت بـ Microsoft في ذلك اليوم. بحلول 19 يونيو، حددت الوزارة أنه تم الوصول إلى ستة حسابات، بما في ذلك حسابات مرتبطة بالتحضيرات لرحلة وزير الخارجية إلى بكين. حددت ستة حسابات إضافية تم الوصول إليها بين 21 و24 يونيو وآخر من خلال تحليل خادم خاص افتراضي تم الاستيلاء عليه.
تظهر التواريخ أن الاكتشاف والاحتواء تداخلا مع الوصول المستمر. كان تنبيه الوزارة نجاحاً في الكشف، لكنه لم يكشف على الفور عن بيانات اعتماد منصة مزورة. فحصت Microsoft في البداية التفسيرات المألوفة مثل الأجهزة المخترقة والرموز المسروقة الصادرة بشكل صحيح. ثم رأى محللوها أن أدلة مصادقة Exchange Online لا تتوافق مع رموز Azure AD في السجلات المتوقعة. في أو حوالي 26 يونيو، حددت Microsoft أن الجهة الفاعلة كانت تستخدم مفتاح المستهلك لعام 2016 لإنشاء رموز تعمل ضد البريد الاستهلاكي والمؤسسي.
إناستشارة CISA-FBI AA23-193Aمباشرة بشكل غير معتاد بشأن تخصيص قدرة التخفيف. تقول إن جميع إجراءات التخفيف لهذا النشاط كانت مسؤولية Microsoft لأن البنية التحتية المتأثرة كانت قائمة على السحابة. كما تقول إن الوكالات لم تكن على علم بسجلات تدقيق أو أحداث أخرى من شأنها أن تكشف النشاط. اكتشف العميل الحادث، لكن المزود وحده هو الذي يمكنه إغلاق الأسلوب.
26 يونيو-3 يوليو: تخفيف تدريجي وليس مفتاحاً واحداً
يسجل التسلسل الزمني المفصل لـ Microsoft عدة إجراءات متميزة:
- في 26 يونيو، توقفت OWA عن قبول الرموز الصادرة عن GetAccessTokenForResource للتجديد، مما أغلق سلوك التجديد الذي أساءت الجهة الفاعلة استخدامه.
- في 27 يونيو، حظرت Microsoft استخدام OWA للرموز الموقعة بواسطة مفتاح MSA الذي تم الحصول عليه، مما منع المزيد من الوصول إلى البريد المؤسسي من خلال المسار الملحوظ.
- في 29 يونيو، أكملت Microsoft استبدال المفتاح، وألغت جميع مفاتيح توقيع MSA التي كانت صالحة أثناء الحادث، وأصدرت مفاتيح جديدة من أنظمة محصنة.
- في 3 يوليو، حظرت Microsoft استخدام المفتاح للعملاء الاستهلاكيين المتأثرين لمنع استخدام الرموز الصادرة سابقاً.
توضح هذه السلسلة لماذا "تم إلغاء المفتاح" ليس وصفاً كافياً للاحتواء. قد تتضمن حملة الرموز المزورة بيانات تعريف تحقق مخزنة مؤقتاً، وأدوات وصول نهائية، وواجهات تجديد، وخدمات استهلاكية ومؤسسية، ورموز صادرة بالفعل. يتطلب الاحتواء الدائم رسم خريطة لكل مكان يبقى فيه قرار الثقة القديم.
قالت Microsoft إنها لاحظت تحول Storm-0558 إلى التصيد وتقنيات أخرى بعد حظر مسار تزوير الرموز المعروف، وأنها لم تشهد أي نشاط إضافي متعلق بالمفتاح. وهذا يدعم فعالية التخفيفات الفورية ضد الطريقة الملحوظة. إنه لا يثبت أنه تم تحديد مسار الاستحواذ الأصلي أو أن الجهة الفاعلة لم تحصل على مواد حساسة أخرى. قال CSRB صراحة إن إمكانية الوصول إلى مفاتيح وبيانات أخرى لا تزال دون حل.
يوليو 2023-مارس 2024: الإفصاح، وإصلاح التسجيل، وتصحيح السبب الجذري
كشفت Microsoft علناً عن الحملة في 11 يوليو ونشرت تحليلاً تقنياً أعمق في 14 يوليو. وصفت منشوراتها المبكرة بشكل صحيح إساءة استخدام المفتاح وخطأ التحقق بينما ذكرت أن الحصول على المفتاح لا يزال قيد التحقيق. في 19 يوليو، بعد التنسيق مع CISA، أعلنت Microsoft أن سجلات الوصول التفصيلية للبريد الإلكتروني وأكثر من 30 نوع حدث تدقيق أخرى ستكون متاحة للعملاء من المستوى القياسي دون تكلفة إضافية. كما قالت إن فترة الاحتفاظ الافتراضية لـ Audit Standard ستزداد من 90 إلى 180 يوماً. إعلانالتسجيل من Microsoftهو استجابة مادية لأنه يغير من يمكنه رؤية الأدلة اللازمة لاكتشاف إساءة الاستخدام الناشئة من المزود.
في 6 سبتمبر، نشرت Microsoft ما أسمته نتائج تحقيقاتها الفنية الرئيسية. أكد الحساب الأصلي أن تعطل نظام التوقيع الاستهلاكي في أبريل 2021 أنتج تفريغ تعطل؛ وأن حالة سباق سمحت للمفتاح بالدخول إلى التفريغ؛ وأن التفريغ انتقل من بيئة إنتاج معزولة إلى بيئة تصحيح مؤسسية متصلة بالإنترنت؛ وأن ماسحات بيانات الاعتماد فاتتها؛ وأن Storm-0558 اخترق لاحقاً حساب مهندس لديه إمكانية الوصول إلى تلك البيئة. نظراً لأن السجلات ذات الصلة تجاوزت عمرها، أطلقت Microsoft على هذا اسم آلية الاستحواذ الأكثر احتمالاً.
قدمت هذه الرواية سلسلة متماسكة، لكن السلسلة لم تكن مدعومة بأدلة مباشرة. يبدأتقرير سبتمبر الموصوف من Microsoftالآن بتحديث في 12 مارس 2024. تقول الشركة إن فرضيتها الرئيسية لا تزال أن الأخطاء التشغيلية تسببت في مغادرة مواد المفتاح لبيئة التوقيع الآمنة وأن المواد تم الوصول إليها من خلال حساب هندسي مخترق. كما تقول إنها لم تجد تفريغ تعطل يحتوي على المفتاح المتأثر، وأن حالة السباق المذكورة أثرت على ما إذا كان يمكن للتفريغ مغادرة بيئة التوقيع بدلاً من ما إذا كانت مواد المفتاح يمكن أن تكون موجودة، وأن إزالة هذه المواد لم تكن عملية قياسية ولكنها لم تكن محظورة في ذلك الوقت.
يغير التصحيح الوضع المعرفي للحساب. الفرضية المعقولة ليست نتيجة سبب جذري. أفاد CSRB أن Microsoft أخبرت المجلس في نوفمبر 2023 أنها أدركت بعد النشر بفترة وجيزة أن تصريحات سبتمبر كانت غير دقيقة، لكنها لم تنشر التصحيح حتى مارس 2024 بعد استجواب متكرر من المجلس. أصبح هذا التأخير جزءاً من نتيجة ثقافة الأمان للمجلس لأن العملاء يستخدمون إفصاحات السبب الجذري للحكم على ما إذا كان مسار الاستحواذ الفعلي قد تم إغلاقه.
السبب الجذري، والمحفز، وإخفاقات الكشف
تحليل الحوادث أكثر دقة عندما يفصل المحفز عن الأسباب الجذرية وعن إخفاقات الكشف والاستجابة.
المحفز
كان المحفز التشغيلي هو استخدام Storm-0558 لمفتاح توقيع MSA الخاص لعام 2016 المسروق لإنشاء رموز وتقديمها من خلال مسارات الوصول إلى Exchange Online. قامت الجهة الفاعلة باختيار الأهداف، وتشغيل البنية التحتية، وسك الإقرارات، والوصول إلى البريد، وسرقة الرسائل. الجهة الفاعلة مسؤولة عن الاختراق الخبيث. إسناد النشاط إلى جهة تجسس مرتبطة بجمهورية الصين الشعبية هو تقييم استخباراتي أفادت به Microsoft وCSRB؛ هذه المقالة لا تعزو الأمر الحكومي بشكل مستقل.
الأسباب الجذرية التقنية والظروف الممكنة
سؤال السبب الجذري الأول، كيف هرب المفتاح الخاص من سيطرة Microsoft، لم يتم حله. يجب تسجيله كحقيقة مادية مفتوحة، وليس ملئها بفرضية تفريغ التعطل.
السبب الثاني أكثر رسوخاً بكثير: المفتاح القديم ظل موثوقاً. توقف التناوب اليدوي للمفتاح الاستهلاكي في عام 2021 بعد انقطاع، وكان البديل الآلي غير جاهز، ولم يجبر أي تنبيه فعال للتقادم على الحل. سرقة مفتاح قصير العمر أو تم إيقافه على الفور كانت ستنتج فرصة أصغر. سرقة مفتاح ظل مقبولاً لسنوات أنتجت قوة توقيع دائمة.
السبب الثالث هو فشل نطاق التحقق من الرمز. قامت الخدمة بالتحقق من التوقيع مقابل مواد المفتاح المتاحة من خلال بيانات التعريف المشتركة ولكنها لم تثبت بشكل كافٍ أن مجال هوية المفتاح كان مسموحاً له بتفويض المورد المؤسسي المطلوب. توثيقالتحقق من رمز الوصول الحالي لـ Microsoftيخبر خوادم الموارد بالتحقق من توقيع الرمز والجمهور والمُصدر والمستأجر ومُصدر مفتاح التوقيع. توضح قضية Storm-0558 لماذا هذه الفحوصات ليست زائدة عن الحاجة. التوقيع الصحيح رياضياً يجيب على من يملك مفتاحاً خاصاً؛ إنه لا يجيب، بحد ذاته، على ما إذا كان هذا المفتاح مصرحاً به لهذا المستأجر أو فئة الحساب أو الخدمة أو المورد.
السبب الرابع هو عيب تصميم تجديد رمز OWA. بمجرد قبول الهوية المزورة من خلال تدفق شرعي، سمحت GetAccessTokenForResource لرمز واحد بالحصول على آخر بطريقة غيرتها Microsoft لاحقاً للتمييز بين إصدار Azure AD وMSA. لم يخلق هذا قدرة التوقيع الأصلية، لكنه جعل مسار الوصول أكثر فائدة واستدامة.
الشرط الممكن الخامس هو عدم كفاية كشف الحالات الشاذة على جانب المزود. قالت Microsoft إن نمط رمز الجهة الفاعلة كان واضحاً بأثر رجعي لأنه لا يوجد نظام Microsoft شرعي يوقع الرموز في هذا المزيج. ومع ذلك، لم ينبه المزود على هذه الحالة المستحيلة أو شديدة الشذوذ قبل أن يبلغ العميل عن سلوك صندوق البريد. وجد CSRB أن مزودي الخدمات السحابية الآخرين لديهم ضوابط تفتقر إليها Microsoft وأوصى بأن يستخدم المزودون البيانات الخاصة في خوارزميات توليد الرموز وإشارات التحقق للكشف عن الإقرارات المزورة حتى عندما يتحقق التوقيع.
إخفاقات الكشف والاستجابة
اعتمد الكشف على عميل لديه ترخيص ممتاز، وتحليل مخصص، ومشغلين ماهرين، والاستعداد لمتابعة تنبيه معتدل أنتج نتائج إيجابية خاطئة من قبل. هذا تحكم مثير للإعجاب من وزارة الخارجية. إنه أيضاً نموذج أمان غير مستقر على نطاق النظام. لا يمكن توقع من آلاف العملاء إعادة بناء اختراق تشفيري للمزود من أحداث صندوق بريد اختيارية، خاصة عندما لم يكن الحدث المطلوب لهذه الحملة متاحاً لمستخدمي الترخيص القياسي.
في ذلك الوقت، كان MailItemsAccessed متاحاً من خلال Microsoft Purview Audit Premium ويتطلب ترخيص E5 أو G5. كان لدى الوزارة G5 ويمكنها إنشاء Big Yellow Taxi. الضحايا الآخرون دون تسجيل متميز افتقروا إلى نفس الرؤية التاريخية. لذلك حثت استشارة CISA وFBI المؤسسات على تمكين التسجيل المتميز مع الإشارة صراحةً إلى متطلبات الترخيص. بعد سبعة أيام، التزمت Microsoft بإزالة حاجز المستوى لأنواع الأحداث الرئيسية. وصفت مديرة CISA Jen Easterly التغيير كخطوة نحو ممارسة آمنة بالتصميم فيبيان CISA في 19 يوليو.
كما كانت الاستجابة مقيدة بالاحتفاظ بالأدلة من قبل المزود. لم تمتلك Microsoft السجلات اللازمة لتحديد كيف أو متى تم سرقة المفتاح. قيدت نوافذ الثلاثين يوماً أقرب نشاط عميل يمكن ملاحظته، بينما كانت الأحداث المؤسسية والإنتاجية الأقدم اللازمة لفرضية 2021 غير متوفرة. يحمل الاحتفاظ بالسجلات دائماً تكاليف والتزامات خصوصية وتحكم في الوصول، لكن لا يمكن للمزود أن يدعي بشكل موثوق أنه يحمي الجواهر التاجية التشفيرية إذا كان أفق أدلته أقصر من الوقت الذي قد تظل فيه الجهات الفاعلة المتطورة هادئة.
أخيراً، كان التصحيح المتأخر للحساب السببي لشهر سبتمبر فشلاً في الاستجابة. لم يمكن الاختراق الأصلي، لكنه أضعف الثقة العامة. يجب أن يفصل تقرير ما بعد الحادث الحقائق والفرضيات المقدرة والثقة والأدلة المتناقضة والأسئلة غير المحلولة. نشر آلية تبدو كاملة وتصحيحها بعد ستة أشهر فقط جعل من الصعب على العملاء والمشرفين تحديد ما إذا كانت المعالجة قد عالجت المسار الفعلي.
مشكلة التسجيل والترخيص
يتم التعامل مع التسجيل أحياناً كميزة منتج ثانوية. في هذا الحادث، كان عنصر تحكم أمان ومصدراً لعدم تناسق المعلومات.
امتلكت Microsoft تتبعاً على مستوى الخدمة ورؤية داخلية لنظام الهوية غير متاحة لأي عميل. يمكن لكل عميل ملاحظة المستأجر الخاص به فقط وأنواع الأحداث المضمنة في اشتراكه وتكوينه. جاء التنبيه الحاسم من MailItemsAccessed، وهو حدث مصمم لإظهار متى تم الوصول إلى عناصر صندوق البريد. ذكرت CISA وFBI أنهما لا يعرفان أي حدث تدقيق آخر من شأنه أن يكشف هذا النشاط. العميل بدون الحدث لا يزال بإمكانه ملاحظة العلامات السياقية، لكنه يفتقر إلى نفس السطح الأدلي المباشر.
يخلق هذا حداً تجارياً إشكالياً. يمكن لمنتجات الأمان المتميزة أن تفرض رسوماً بشكل معقول على التحليلات المتقدمة والأتمتة والاحتفاظ الطويل والتحقيق المدار. الحد الأدنى من الأدلة اللازمة لمعرفة ما إذا كانت الخدمة التي يديرها البائع قد وصلت إلى بيانات العميل مختلفة. عندما يتحكم المزود وحده في النظام ويجب على العميل الدفع إضافياً لمراقبة الوصول الناتج عن فشل هوية المزود نفسه، يُطلب من العميل شراء رؤية لمخاطر لا يمكن للعميل معالجتها مباشرة.
يعترف التغيير ما بعد الحادث بهذا التمييز. التزمت Microsoft بجعل سجلات الأمان السحابية الأوسع متاحة عالمياً دون تكلفة إضافية، وإضافة أحداث الوصول التفصيلية للبريد الإلكتروني إلى Audit Standard، ومضاعفة الاحتفاظ القياسي الافتراضي إلى 180 يوماً. في فبراير 2024، أعلنت CISA ومكتب الإدارة والميزانية ومكتب المدير السيبراني الوطني وMicrosoft أن التسجيل الموسع أصبح متاحاً لجميع الوكالات الفيدرالية التي تستخدم Purview Audit بغض النظر عن المستوى، مع التمكين التلقائي والاحتفاظ الافتراضي الأطول.إعلان التنفيذ المشتركأطر سجلات تدقيق عالية الجودة دون رسوم إضافية أو تكوين كتوقع آمن بالتصميم.
الإصلاح لا يلغي مسؤولية العميل. يجب توجيه السجلات إلى أنظمة قابلة للبحث، والاحتفاظ بها وفقاً للمخاطر والمتطلبات القانونية، وتحديد خط الأساس، والاستعلام عنها، وربطها بإجراءات الاستجابة. توصي استشارة CISA بهذه الإجراءات بالضبط. لكن الانضباط التشغيلي للعميل يصبح ذا معنى فقط بعد أن يصدر المزود الحدث ذي الصلة ويجعله في متناول اليد. توفر التتبع وتوفر التتبع هما عنصري تحكم منفصلين يملكهما أطراف مختلفون.
أثر الترخيص أيضاً على المساواة الجنائية بين الضحايا. بيئة G5 لوزارة الخارجية كان لديها سجل تاريخي أقوى من بيئات المستوى القياسي. تمكين حدث بعد الحادث لا يعيد بناء ما لم يتم تسجيله مطلقاً. هذا يعني أن نفس فشل المزود يمكن أن ينتج مستويات ثقة مختلفة حول التأثير بناءً على اشتراك العميل، على الرغم من أن أياً من العميلين لم يتحكم في مفتاح التوقيع الأساسي. لذلك يجب التعامل مع الحد الأدنى من الأدلة الجنائية كجزء من خط الأساس الأمني للخدمة، وليس مجرد عملية بيع إضافية.
تأثير العميل الفيدرالي واستمرارية القطاع العام
أثر الاختراق على البريد الإلكتروني غير المصنف، لكن "غير مصنف" لا يعني تافهاً من الناحية التشغيلية. تحتوي صناديق بريد كبار المسؤولين على جداول زمنية، ومداولات سياسات، وشبكات اتصال، ومواقف تفاوضية، وصياغة لغة، والنسيج الضام العادي للحكومة. يمكن لجهاز استخباراتي استخلاص قيمة من التجميع والتوقيت والعلاقات والسياق دون الحصول على وثائق مصنفة رسمياً.
قالت وزارة الخارجية لاحقاً إن حوالي 60,000 بريد إلكتروني تم تنزيلها من 10 حسابات. فيإيجازها الصحفي في 28 سبتمبر 2023، وصفت الوزارة المواد المتأثرة بأنها غير مصنفة وقالت إنه لم يتم اختراق أنظمة البريد الإلكتروني المصنفة. إعادة بناء CSRB الأوسع حددت المزيد من حسابات الوزارة التي تم الوصول إليها، مما يعكس طرقاً مختلفة لحساب الوصول إلى الحساب والمجموعة التي تم تنزيل الرسائل منها. لا تستنتج المقالة محتويات الرسائل بما يتجاوز ما كشفت عنه الوكالات.
كانت صناديق البريد الرسمية والشخصية لوزير التجارة من بين المتأثرين، وفقاً لـ CSRB. كان مجلس النواب الأمريكي أيضاً ضمن المجموعة المتأثرة، بما في ذلك عضو الكونغرس Don Bacon.تحقيق مجلس الرقابة في أغسطس 2023طلب إحاطات من وزارتي الخارجية والتجارة حول الاكتشاف والتأثير والاستجابة والأمن المستقبلي. تثبت هذه الحقائق التعرض الحساس للقطاع العام والقلق الرقابي؛ إنها لا تثبت أن قرارات سياسية محددة تغيرت بسبب الاختراق.
للاستمرارية في هذا السياق خمسة أبعاد على الأقل.
أولاً، استمرارية السرية: يحتاج المسؤولون إلى توقع دائم بأن الاتصالات السحابية الروتينية لا يتم نسخها بصمت من قبل جهة استخباراتية أجنبية.
ثانياً، استمرارية القرار: يجب أن تكون الفرق التي تعد للسفر الدبلوماسي أو السياسة الاقتصادية قادرة على المداولة دون افتراض أن الخصم لديه وصول متزامن إلى بريدهم.
ثالثاً، استمرارية الأدلة: تحتاج الوكالات إلى بيانات محتفظ بها كافية لإعادة بناء من وصل إلى ماذا ومتى. بدونها، لا يمكن للقادة تحديد الحادث بثقة أو تحديد العلاقات والقرارات التي تتطلب إعادة التحقق.
رابعاً، استمرارية الاستجابة: اختراق المزود يجبر الوكالات على تحويل القدرات الأمنية والقانونية والدبلوماسية والسجلات والقيادية. حتى عندما يظل البريد الإلكتروني متاحاً، يمتص العمل الرسمي ضريبة استجابة للحوادث خفية.
خامساً، استمرارية الثقة: اعتماد القطاع العام على الخدمات السحابية المشتركة يعتمد على ضمان أن المزود سيكتشف الإخفاقات في مستوى التحكم الخاص به، ويكشف عنها بدقة، ويزود العملاء بأدلة قابلة للاستخدام. يمكن للخدمة أن تفي بهدف وقت التشغيل بينما تفشل في اختبار الاستمرارية الأوسع هذا.
كشف الحادث أيضاً عن مخاطر التركيز. توفر Microsoft خدمات الهوية والبريد والإنتاجية ونظام التشغيل والأمان والسحابة عبر جزء كبير من الحكومة والقطاع الخاص. يمكن للتكامل تحسين الإدارة والكشف، لكنه يمكن أيضاً أن يسمح لعيب هوية واحد على جانب المزود بعبور الحدود التنظيمية على نطاق عالمي. وصف CSRB مركزية Microsoft كسبب للمطالبة بأعلى معايير الأمان والمساءلة والشفافية.
لا يؤدي التركيز تلقائياً إلى استنتاج أن كل وكالة يجب أن تتخلى عن Microsoft أو تحتفظ بأنظمة بريد مكررة. الهجرة نفسها تخلق تكلفة ومخاطر، ويمكن لمزودين متعددين إعادة إنتاج نقاط ضعف هوية مماثلة. الاستنتاج الأقوى هو أن المشتريات والرقابة يجب أن تسعّر فشل الهوية المشترك بشكل صريح: يجب التعامل مع تجزئة المفاتيح، وكشف الحالات الشاذة على جانب المزود، والوصول إلى التدقيق، والاحتفاظ بالأدلة، والإخطار بالحوادث، والاختبار المستقل، وترتيبات الخروج أو الاستمرارية كمتطلبات خدمة.
نتائج CSRB ولماذا تهم
تصفصفحة النشر الخاصة بـ CSRBالتقرير كمراجعة مستقلة للقرارات التشغيلية والاستراتيجية وتقول إنه يوصي بممارسات للصناعة والحكومة. نتائجه الأساسية شديدة ولكنها محددة.
استنتج المجلس أن ثقافة الأمان في Microsoft كانت غير كافية وتتطلب إصلاحاً شاملاً. أسس هذا الاستنتاج على السلسلة التي يمكن تجنبها، والفشل في اكتشاف اختراق مفتاح توقيع حاسم، والاعتماد على عميل للاكتشاف، والمقارنة مع الضوابط في مزودين آخرين، واختراق الجهاز المستحوذ عليه في 2021، والتصحيح المتأخر للبيانات العامة غير الدقيقة، واختراق دولة قومية منفصل في 2024 كان خارج نطاق هذه المراجعة. النتيجة تنظيمية لأنه لا يوجد خطأ برمجي واحد يشرح لماذا ظل المفتاح مقبولاً، ولماذا فشل الفصل بين المجالات، ولماذا لم تنبه أنماط الرموز المستحيلة، ولماذا كانت الأدلة غير متوفرة، ولماذا تجاوز الادعاء السببي الإثبات.
كما قدم المجلس بدائل ملموسة. لو لم يتم إيقاف التناوب اليدوي دون بديل آلي مكتمل، أو لو كان تنبيه تقادم المفتاح قد فرض إجراءً، لما ظل مفتاح 2016 صالحاً في 2023. لو تم فصل التحقق الاستهلاكي والمؤسسي بشكل صحيح، لكان وصول الجهة الفاعلة أضيق بكثير ولما شمل العملاء المؤسسيين. لو اكتشفت Microsoft رموزاً لا تتوافق مع خوارزمية التوليد الخاصة بها، لكانت الحملة قد حظرت أو اكتشفت من جانب المزود. لو كان الاحتفاظ الجنائي أقوى، لكانت Microsoft قد أجابت على سؤال الحصول على المفتاح.
توضح هذه البدائل مبدأ أمان متعدد الطبقات. لم يتطلب الاختراق فشل كل عنصر تحكم بنفس الطريقة. أي واحد من عدة عناصر تحكم مستقلة كان يمكن أن يمنع الاختراق المؤسسي أو يقصره بشكل ملموس:
- الحيازة الآمنة كان يمكن أن تمنع فقدان المفتاح.
- التناوب التلقائي المتكرر كان يمكن أن يجعل المفتاح المسروق غير قابل للاستخدام قبل 2023.
- التحقق الواعي بالنطاق كان يمكن أن يحصر المفتاح الاستهلاكي في الخدمات الاستهلاكية.
- فحوصات الرموز الحالة أو الخاصة كان يمكن أن تكشف رمزاً لن تصدره Microsoft بنفسها.
- المراقبة على مستوى المزود كان يمكن أن تسفر عن مزيج التوقيع والنطاق المستحيل.
- سجلات العملاء الأساسية كان يمكن أن تسمح لمزيد من الضحايا باكتشاف وتحديد الوصول.
- الاحتفاظ الأطول من جانب المزود كان يمكن أن يحسن ثقة السبب الجذري.
لهذا السبب لا يمنع مسار السرقة غير المحلول تحليل المساءلة. المجهول مهم، لكن العديد من الإخفاقات المستقلة الكافية أو المحددة للتأثير موثقة. لا يمكن للمزود الإجابة على رابط سبب جذري مفقود بمعاملة السلسلة بأكملها على أنها غير قابلة للمعرفة.
تجاوزت توصيات المجلس Microsoft. دعت إلى ممارسات إدارة مفاتيح حديثة، وتناوب تلقائي ومتكرر، ومفاتيح محمية بالأجهزة، ومكتبات مصادقة مشتركة، ومعايير هوية رقمية أقوى، والحد الأدنى من تسجيل العملاء دون رسوم إضافية، وما لا يقل عن ستة أشهر من السجلات المناسبة التي يمكن للعملاء الوصول إليها، وإخطار أفضل للضحايا، وإفصاح أكثر شفافية عن ثغرات السحابة. تعالج هذه التدابير هيكل صناعة يحمل فيه المزودون كلاً من التحكم المتميز وأفضل الأدلة.
استجابة Microsoft
صحت الاستجابة الفورية لـ Microsoft عيوب التحقق والتجديد المعروفة، وحظرت المفتاح المسروق، وألغت مفاتيح توقيع MSA النشطة، ونقلت المفاتيح الاستهلاكية إلى مخزن المفاتيح المؤسسي المحصن، وزادت العزلة، وصقلت مراقبة نظام المفاتيح. هذه الإجراءات عالجت الحملة الملحوظة مباشرة. كما أبلغت Microsoft المنظمات المتضررة وأصدرت مؤشرات البنية التحتية للمدافعين.
ثم قامت الشركة بتغيير التحكم التجاري من خلال توسيع الوصول إلى التدقيق. هذا الإجراء يمكن ملاحظته بشكل مستقل في التزام المنتج والطرح الفيدرالي، على الرغم من أن الاكتمال العملي لتغطية الحدث لا يزال يعتمد على الخدمة والتكوين والاحتفاظ وعمليات العميل.
في نوفمبر 2023، أطلقت Microsoft مبادرة المستقبل الآمن. التزمإعلان SFI الأوليبنظام إدارة مفاتيح موحد ومؤتمت بالكامل للاستهلاك والمؤسسات باستخدام الحوسبة السرية ووحدات أمان الأجهزة، بهندسة مصممة لإبقاء المفاتيح غير قابلة للوصول حتى عندما يتم اختراق العمليات الأساسية. التزم منشور هندسي مصاحب بالتناوب الآلي عالي التردد دون وصول بشري.
بعد تقرير CSRB واختراق دولة روسي منفصل لبريد Microsoft المؤسسي، وسعت الشركة SFI في مايو 2024. وضعبرنامجها الموسعأهدافاً تشمل التناوب الآلي السريع والحماية بالأجهزة لمفاتيح التوقيع، ومجموعات تطوير الهوية القياسية عبر التطبيقات، والتحقق الحالي والدائم لرموز الهوية، وتقسيم المفاتيح بشكل أدق، والقضاء على محاور الهوية الجانبية، والاحتفاظ بسجلات الأمان لمدة عامين، وستة أشهر من السجلات المناسبة للعملاء. كما قال إن جزءاً من تعويض القيادة العليا سيعتمد على معالم الأمان.
في يونيو 2024، قال نائب رئيس Microsoft ورئيسها Brad Smith للجنة الأمن الداخلي بمجلس النواب إن الشركة تتحمل المسؤولية عن كل قضايا المذكورة في تقرير CSRB.شهادته المكتوبةقالت إن Microsoft تعمل على جميع توصيات المجلس الـ16 القابلة للتطبيق على الشركة، وخصصت ما يعادل 34,000 مهندس بدوام كامل لـ SFI، وتقوم بتحويل أنظمة الهوية الاستهلاكية والمؤسسية إلى نظام إدارة مفاتيح مدعوم بالأجهزة، وأحرزت تقدماً في التناوب الآلي، ومكتبات المصادقة المشتركة، وإشارات التحقق من الرموز.سجل جلسة الاستماع الكونغرسيةيوفر السياق الرقابي العام والأسئلة.
بحلول سبتمبر 2024، أبلغت Microsoft عن مجلس حوكمة الأمن السيبراني، ونواب مسؤولي أمن المعلومات الرئيسيين لأقسام الهندسة، والأمان في مراجعات أداء الموظفين، والمراجعة التنفيذية ومجلس الإدارة المنتظمة.تحديث تقدم SFI للشركةهو دليل على تغييرات الحوكمة وتقدم التنفيذ المذكور.
هذه الاستجابات هي التزامات كبيرة. يجب وصفها لا تزال كالتزامات وتقدم أبلغت عنه الشركة حيث لا يكون التحقق المستقل علنياً. أوصى CSRB ببنى وتحكمات محددة، لكنه لم يعتمد على اكتمالها لاحقاً. سيتطلب معيار الإغلاق الموثوق تغطية قابلة للقياس لتناوب المفاتيح، وأدلة على تقاعد أدوات التحقق القديمة، واختبارات تظهر أن الحدود الاستهلاكية والمؤسسية تفشل بشكل مغلق، وتتبع كافٍ للتحقيق في أحداث المفاتيح، وضمان خارجي بأن الاستثناءات لا يمكن أن تستمر بهدوء.
المساءلة حسب قدرة التحكم
تبدأ خريطة المساءلة المفيدة بمن يمكنه منع أو اكتشاف أو تحديد أو تقصير كل فشل.
سيطرت Microsoft على توليد المفاتيح وتخزينها وتناوبها وإيقاف تشغيلها ومجموعة الثقة في الإنتاج. سيطرت على بنية بيانات التعريف المشتركة، والمكتبات المساعدة، وأداة التحقق من Exchange Online، وواجهة تجديد رمز OWA، ومنطق الكشف على مستوى الخدمة. سيطرت على الاحتفاظ بالأدلة الداخلية والإنتاجية والمؤسسية. كما سيطرت على دقة وتوقيت الإفصاحات الفنية العامة. المسؤولية عن تلك الأسطح تقع بشكل أساسي على عاتق Microsoft.
سيطرت وزارة الخارجية على مراقبة المستأجر، ومنطق التنبيه المخصص، والفرز، والتصعيد، والتنسيق مع CISA وFBI. أدت هذه المهام بفعالية كافية لاكتشاف اختراق على مستوى المزود. سيطر العملاء الآخرون على المراقبة والاستجابة الخاصة بهم ضمن التتبع المتاح لهم. تظل مسؤولية العميل حقيقية، لكنها لا يمكن أن تحل محل ضوابط المزود التي لا يمكن للعملاء رؤيتها أو تغييرها.
سيطرت CISA وOMB ومسؤولو المشتريات الوكالة على أجزاء من الخط الأساسي الفيدرالي: متطلبات التسجيل، وإرشادات التكوين، وتوقعات العقود، والتنسيق عبر الوكالات، والنفوذ للمطالبة بإعدادات افتراضية أكثر أماناً. عملهم على التسجيل بعد الحادث قلل من عدم المساواة. لا ينبغي لنظام مشتريات ناضج أن يعتمد على أزمة لتأسيس أن العملاء يحتاجون إلى الوصول إلى أدلة الوصول إلى صندوق البريد.
سيطر Storm-0558 على العملية العدائية ويتحمل مسؤولية الاختراق. هذه الحقيقة الواضحة لا تمحو إمكانية المنع. تفحص تحقيقات السلامة بانتظام لماذا وصل مدخل خبيث أو خطير إلى الأنظمة المحمية على الرغم من ذنب الجهة الفاعلة. الإسناد والمساءلة الدفاعية يجيبان على أسئلة مختلفة.
تتحكم مجالس الإدارة والمديرين التنفيذيين للشركات في تخصيص الموارد، وقبول المخاطر، والحوافز، والمواعيد النهائية. لم يكن إيقاف التناوب اليدوي للمفتاح بعد انقطاع مجرد خطأ هندسي معزول؛ استمرت العاقبة الأمنية لأن الأتمتة والتنبيه لم يتلقيا أو يحافظا على أولوية كافية. قرار Microsoft اللاحق بربط تعويض القيادة بمعالم الأمان يعترف ضمنياً بأن مستوى التحكم ذي الصلة يمتد فوق الفريق الذي كتب أداة التحقق.
لا ينبغي تحويل التخصيص ميكانيكياً إلى نسبة مئوية من المسؤولية القانونية. تختلف العقود، والحصانة السيادية، والأضرار، والسببية، وواجبات الإفصاح، والولاية التنظيمية.طلب السيناتور Ron Wyden في يوليو 2023طلب من وزارة العدل ولجنة التجارة الفيدرالية وCSRB التحقيق في ممارسات Microsoft. هذا الطلب هو دليل على القلق التنظيمي، وليس دليلاً على أن الوكالات المطلوبة توصلت إلى نتيجة إنفاذ. لا يوجد سجل عام موثق يستخدم هنا يثبت حكماً قانونياً نهائياً لـ Storm-0558.
ما يجب أن تثبته المعالجة الدائمة
ينبغي اعتبار الحادث مغلقاً تشغيلياً فقط فيما يتعلق بأسلوب مفتاح 2016 الملحوظ. تظل مشكلة الضمان الأوسع مفتوحة حتى يمكن إثبات المعالجة عبر عدة أبعاد.
حيازة المفتاح ودورة الحياة
يجب أن تكون Microsoft قادرة على إظهار أن مفاتيح التوقيع الاستهلاكية والمؤسسية يتم إنشاؤها واستخدامها داخل أنظمة محمية بالأجهزة، ولا يمكن تصديرها إلى بيئات التصحيح أو المؤسسية العامة، وتدور تلقائياً بتردد يتناسب مع قوتها، وتولد تنبيهات قابلة للتنفيذ عندما تتجاوز حدود العمر أو سياسة الاستثناء. يجب ممارسة التناوب في حالات الطوارئ دون التسبب في نوع الانقطاع الذي أدى إلى توقف 2021. يجب أن يقلل تجزئة المفاتيح من عدد المستأجرين والخدمات وفئات الحسابات التي يعرضها أي مفتاح واحد.
صحة التحقق
يجب أن تستخدم كل خدمة معتمدة مكتبات معتمدة تتحقق من التوقيع والمُصدر والجمهور والمستأجر وفئة الحساب ومُصدر المفتاح والعمر والتفويض الخاص بالخدمة. يشرحتوثيق OpenID Connect لـ Microsoftأن بيانات تعريف الاكتشاف تعرض نقاط نهاية المزود ومفاتيح التوقيع العامة؛ لا تجعل كل مفتاح مدرج قابلاً للتبادل لكل مورد. يجب أن تقدم اختبارات المطابقة رموزاً موقعة بشكل صحيح ولكن خاطئة النطاق وتتحقق من الرفض.
مقاومة التزوير تتجاوز التوقيعات عديمة الحالة
يمكن أن يظل رمز الحامل عديم الحالة مقنعاً بعد سرقة مفتاح التوقيع. يمكن للتحقق الحالي، ونهج إثبات الحيازة، وعلامات الإصدار الخاصة، والعمر المحدود، والإلغاء السريع أن تقلل من هذه المخاطرة. الهدف ليس التخلي عن المعايير، ولكن ضمان أن حيازة مفتاح واحد لا تخلق سلطة عالمية غير قابلة للملاحظة.
تتبع المزود والعميل
يجب على المزود اكتشاف مجموعات الرموز المستحيلة عبر الخدمة والاحتفاظ بالأدلة الداخلية لفترة كافية للحملات المتطورة. يجب أن يتلقى العملاء أحداث الوصول إلى صندوق البريد والهوية بشكل افتراضي، دون بوابة مميزة، في مخطط موثق يمكن تصديره إلى أدوات تحليل مستقلة. ستة أشهر من السجلات التي يمكن للعملاء الوصول إليها، كما أوصى CSRB واعتمد كهدف لـ SFI، يجب أن تكون أرضية لنشاط الهوية السحابي عالي القيمة بدلاً من سقف طموح.
اتصالات الحوادث
يجب أن تحمل الإفصاحات الفنية تاريخ الإصدار، ومستويات الثقة، والأسئلة غير المحلولة الصريحة. عندما تفقد الفرضية المنشورة الدعم الأدلي، يجب أن يكون التصحيح فورياً وبارزاً. لا ينبغي للمزود أن يتطلب من هيئة رقابية أن تسأل مراراً عما إذا كان سيتم تعديل حساب السبب الجذري غير الدقيق.
الضمان المستقل
تقارير تقدم الشركة مفيدة ولكنها غير كافية لمستوى تحكم يعتمد عليه القطاع العام. يحتاج العملاء الفيدراليون إلى آليات ضمان يمكنها اختبار التناوب، وعزل المفاتيح، وتغطية التحقق، وأداء التنبيه، والاحتفاظ الجنائي دون كشف الأسرار. النقطة ليست نشر البنية الحساسة. إنه دليل على أن الضوابط المذكورة تعمل عبر الإنتاج، بما في ذلك الأنظمة القديمة والبيئات المستحوذ عليها.
دروس عملية لعملاء السحابة والمشترين العموميين
لا يمكن للعملاء إصلاح نظام التوقيع الخاص بالمزود، لكن يمكنهم جعل الاعتماد أكثر قابلية للإدارة.
أولاً، اشتر الأدلة، وليس الميزات فقط. يجب أن تحدد العقود وخطوط الأساس للخدمة أحداث الوصول والهوية والإدارة والرموز وصندوق البريد المتاحة؛ ومدى سرعة وصولها؛ ومدة بقائها قابلة للبحث؛ وما إذا كان يمكن للعملاء تصديرها. يجب اختبار التسجيل بأحداث محاكاة قبل وقوع حادث.
ثانياً، بناء تحليلات حول الوصول إلى البيانات بالإضافة إلى تسجيل الدخول. قد يتجاوز الرمز المزور الحالات الشاذة التي يتوقعها المدافعون عن سرقة كلمة المرور. كان MailItemsAccessed مهماً لأنه لاحظ الإجراء المحمي، وليس مجرد مراسم المصادقة. يجب أن تحدد البيئات عالية القيمة خط الأساس للوصول غير المعتاد إلى صندوق البريد، ومعرفات التطبيق، والجغرافيا، وسلوك العميل، وحجم الوصول.
ثالثاً، الحفاظ على مسار تصعيد يفترض أن المزود قد يكون جزءاً من الحادث. يجب أن يعرف فريق المستأجر كيفية الوصول إلى منظمة الاستجابة الأمنية للمزود، وCISA أو السلطة الوطنية ذات الصلة، وإنفاذ القانون، والقيادة التنفيذية دون الاعتماد على قناة البريد التي قد تكون مخترقة.
رابعاً، التعامل مع تركيز الهوية كمخاطرة استمرارية. يجب أن يعرف المشترون أي الخدمات الحرجة تشارك جذر هوية، وما يمكن أن يصل إليه اختراق مفتاح على مستوى المزود، والوظائف التي يمكن أن تستمر أثناء إعادة بناء الثقة السحابية. قد يبرر هذا التجزئة، وهويات إدارية منفصلة، وتخزين سجلات مستقل، أو تنوع انتقائي لأعباء العمل الأكثر حساسية.
خامساً، اختبار التزامات الإخطار والأدلة للمزود. الوعد بإخطار "العملاء المتأثرين" مفيد فقط بقدرة المزود على تحديدهم. في Storm-0558، فقط Microsoft يمكنها تحديد معظم الضحايا لأن الرموز المزورة عملت داخل خدمتها. هذا يجعل التتبع على مستوى المزود والتواصل في الوقت المناسب جزءاً من بنية الكشف الخاصة بالعميل.
أخيراً، لا تخلط بين المسؤولية المشتركة والقدرة المتساوية. يجب على العملاء تأمين ما يتحكمون به. يجب أن يكون المزودون مسؤولين عن الضوابط الحصرية للمزود. يجب على المنظمين والمشترين التركيز على الحدود بينهما، لأن هناك تكون متطلبات السلامة أكثر عرضة لأن تصبح غامضة أو اختيارية أو خاضعة للرسوم.
التقييم
كان اختراق Exchange Online لـ Storm-0558 فشلاً في الهوية السحابية يمكن منعه مع مسار غير محلول للحصول على المفتاح الأولي. تدعم الأدلة العامة نتيجة عالية الثقة بأن Microsoft سمحت لمفتاح توقيع استهلاكي قديم بالبقاء موثوقاً، وفشلت في فرض الحدود بين التحقق من الرموز الاستهلاكية والمؤسسية، وافتقرت إلى كشف كافٍ على جانب المزود لمجموعات الرموز التي لن تصدرها أنظمتها الخاصة، واحتفظت بأدلة قليلة جداً لإعادة بناء هروب المفتاح. كما تدعم نتيجة أن تسجيل العملاء المحصور بالميزات المميزة شكل بشكل مادي من يمكنه اكتشاف الحملة والتحقيق فيها.
عالجت استجابة Microsoft مسار الوصول الملحوظ ووسعتها لاحقاً لتشمل إصلاحات إدارة المفاتيح والتحقق والتسجيل والحوكمة والحوافز. قبول Brad Smith لنتائج CSRB مهم. وكذلك إزالة حاجز التسجيل للأحداث الأساسية والانتقال نحو التناوب الآلي المدعوم بالأجهزة. سؤال المساءلة المتبقي هو ما إذا كانت هذه التغييرات كاملة ودائمة وقابلة للتحقق بشكل مستقل عبر البنية التحتية للهوية القديمة والحالية لـ Microsoft.
الدرس الأوسع للحادث ليس أن الخدمات السحابية أقل أماناً بطبيعتها من الأنظمة التي يديرها العميل. يمكن للمزودين الكبار نشر الضوابط والاستخبارات والمعالجة على نطاق لا يستطيع معظم العملاء تحقيقه. الدرس هو أن الحجم أيضاً يركز السلطة الخفية. عندما يمكن لمفتاح توقيع واحد وخطأ تحقق واحد الوصول إلى منظمات في جميع أنحاء العالم، يعتمد الأمان على انضباط المفاتيح الداخلي للمزود وعلى الأدلة التي لا يمكن للعملاء توليدها بأنفسهم.
لذلك تتطلب استمرارية القطاع العام تعريفاً أوسع لموثوقية الخدمة. التوفر ضروري، لكن السرية والهوية الموثوقة والأدلة القابلة لإعادة البناء والإفصاح الفوري والطريق الموثوق لاستعادة الثقة بعد اختراق جانب المزود ضرورية أيضاً. ترك Storm-0558 Exchange Online قيد التشغيل. لكنه عطل الفرضية التي استخدمتها الحكومات عليها. لهذا السبب ينتمي الحادث إلى السجل كفشل مساءلة سحابية بدلاً من مجرد عملية تجسس ناجحة أخرى.

