Precis som haverikommissioner vänder på alla vrakdelar och noggrant går igenom alla data från svarta lådan efter en flygolycka har Microsofts utredare utrett hur den kinesiska hackergruppen Storm-0558 i våras lyckades ta sig in i e-postkonton hos 25 stora amerikanska och europeiska organisationer, inklusive olika myndigheter.
Företaget har nu släppt en rapport som visar hur en serie misstag och buggar ledde fram till det uppmärksammade intrånget, och hackarna själva var bara inblandade i de sista stegen.
Hackarna använde en krypteringsnyckel kallad ”Microsoft account consumer key” för att generera de så kallade session tokens som visar för servrarna att en användare är inloggad på ett konto. Eftersom det handlar om företag och myndigheter skulle de egentligen behöva en ”enterprise”-nyckel, men Outlook-utvecklarna hade missat att uppdatera sina system för att göra skillnad på dessa två typer av nycklar sedan Microsoft slog samman konsument- och företagssystemen 2018.
Nyckeln kom hackarna över när de lyckades ta sig in på en Micrsosoft-utvecklares konto och därigenom kom åt företagets utvecklingsmiljö. Där skulle ingen sådan nyckel ha funnits och att den fanns där berodde på att flera system som skulle se till att liknande hemligheter raderades inte fungerade.
Nyckeln kom ursprungligen från en produktionsserver där en process kraschade och sparade en ögonblicksbild av innehållet i minnet, utan att radera känsliga data som krypteringsnycklar. Det var i april 2021. Utvecklare som skulle undersöka varför processen hade kraschat flyttade denna till utvecklarmiljön, där ytterligare ett system som söker igenom inkommande data och ska radera loginuppgifter och krypteringsnycklar missade nyckeln. Till skillnad från det systemet hade hackarna inget problem att hitta den viktiga nyckeln när de av en slump kom in i utvecklarmiljön just när den fanns där att finna.
Microsoft säger att samtliga fel har åtgärdats.
