Forum Övrigt Nyhetskommentarer Tråd Inlägg

Så gick det stora Microsoft 365-hacket till

1
Skriv svar
Permalänk
Melding Plague

Så gick det stora Microsoft 365-hacket till

Hur kunde kinesiska hackare komma åt myndigheters och andra organisationers e-post hos Microsoft? Genom en serie olyckliga missar.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Redigera
Citera flera Citera
Permalänk
Avstängd

"Microsoft säger att samtliga fel har åtgärdats."

De har alltså sparkat utvecklarna och stängt ner hela 365?

Redigera
Citera flera Citera
Permalänk
Medlem

Det är ofta så här hack går till. En slump. Sällan det är som i Hollywood att de har ett enda system som mål. De hackar på bred front och plötsligt hittar de svagaste länken.

Alternativt att de frågar på Facebook vad din första lärare och husdjur hette

Visa signatur

Processor: Motorola 68000 | Klockfrekvens: 7,09 Mhz (PAL) | Minne: 256 kB ROM / 512 kB RAM | Bussbredd: 24 bit | Joystick: Tac2 | Operativsystem: Amiga OS 1.3

Redigera
Citera flera Citera
Permalänk
Medlem

Och varför lagras inte nyckeln i en HSM?
Och har de verkligen "åtgärdat" det genom att faktiskt införa HSMer?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Sidde:

Och varför lagras inte nyckeln i en HSM?
Och har de verkligen "åtgärdat" det genom att faktiskt införa HSMer?

Gå till inlägget

Finns säkert HSMer men det var inte problemet, felet ligger bla i att crash dumpen på en host innehöll nyckeln. Som utvecklare vill du kunna felsöka och ibland skriver du ut mer saker än vad du behöver från en crash dump.

Nyckeln var inte sparad lokalt på maskinen utan fanns i minnet när crashen skedde. Finns flera exempel på attacker som använde crash dump för att få ut information som skulle varit hemlig.

Visa signatur

All your base are belong to us

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av bastardjim:

Finns säkert HSMer men det var inte problemet, felet ligger bla i att crash dumpen på en host innehöll nyckeln. Som utvecklare vill du kunna felsöka och ibland skriver du ut mer saker än vad du behöver från en crash dump.

Nyckeln var inte sparad lokalt på maskinen utan fanns i minnet när crashen skedde. Finns flera exempel på attacker som använde crash dump för att få ut information som skulle varit hemlig.

Gå till inlägget

Fast den privata nyckeln ska ju inte lämna HSMen. Det är ju poängen med den.
Det är HSMen som ska signera andra cert så en dump ska aldrig innehålla nyckeln från första början.

Men andra fel är uppenbara också. Microsoft utelämnar säkerligen massa saker men mycket finns att läsa mellan raderna. T.ex att de har uppenbart inte kontroll på vart deras produktionsdata hamnar.

Detta är inte bara "att bli hackade" utan Microsoft visar ju också att de faktiskt inte är compliant mot rätt många standarder som de säger att de ska följa.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Sidde:

Fast den privata nyckeln ska ju inte lämna HSMen. Det är ju poängen med den.
Det är HSMen som ska signera andra cert så en dump ska aldrig innehålla nyckeln från första början.

Men andra fel är uppenbara också. Microsoft utelämnar säkerligen massa saker men mycket finns att läsa mellan raderna. T.ex att de har uppenbart inte kontroll på vart deras produktionsdata hamnar.

Detta är inte bara "att bli hackade" utan Microsoft visar ju också att de faktiskt inte är compliant mot rätt många standarder som de säger att de ska följa.

Gå till inlägget

Säkerligen är detaljer utlämnade.

Verkar dock som att hela det systemet, kanske t.o.m. HSM blev komprometterat, då blir det stökigt om så är fallet. https://therecord.media/microsoft-changes-signing-key-system

Visa signatur

All your base are belong to us

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av BMac:

De har alltså sparkat utvecklarna...

Gå till inlägget

Vet inte om detta är ett bra sätt att åtgärda felen dock. Vad sänder det för signaler till de anställda när misstag bestraffas med att man åker ut med huvudet före istället för att få ta lärdom av dem?

Blir ju bara tystnadskultur av det hela där anställda tiger om de vet att de gjort fel istället för de är oroliga för att få sparken annars och det kan få riktigt otrevliga konsekvenser. Man skulle ju kunna argumentera för att det beror på hur allvarligt felet är. Men även mindre fel kan ju leda till stora konsekvenser över tid så det blir inte lätt att göra bra och rättvisa bedömningar.

Dessutom som grädde på moset så riskerar det ju leda till att ersättarna mycket väl kan göra samma misstag, det är ju ingen garanti att det var inkompetens som orsakade problemet. Om något är det ju rutiner för kontroll osv som behöver ses över misstänker jag snarare än att sparka individuella utvecklare.

Edit:
Givetvis finns ju fall där ignorans och ren inkompetens eller rentav medvetet slarv och liknande lett till stora fel. Och då är det ju helt rimligt att sparka någon som helt enkelt inte gör sitt jobb. Men detta behöver inte vara ett sånt fall.
/edit

Senast redigerat
Visa signatur

| AMD Ryzen 7 5800X3D | Noctua NH-U12A | Gigabyte X570 Aorus Pro | Powercolor Radeon RX 6900XT Red Devil | 16GB G.Skill Trident Z@3600 CL15 | Gigabyte Aorus 2TB M.2 NVMe SSD | Fractal Design Ion+ Platinum 860W | Fractal Design Meshify S2 Blackout | Corsair K70 | Logitech G502 | Alienware AW3423DWF |

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Zemlan:

Vet inte om detta är ett bra sätt att åtgärda felen dock. Vad sänder det för signaler till de anställda när misstag bestraffas med att man åker ut med huvudet före istället för att få ta lärdom av dem?

Blir ju bara tystnadskultur av det hela där anställda tiger om de vet att de gjort fel istället för de är oroliga för att få sparken annars och det kan få riktigt otrevliga konsekvenser. Man skulle ju kunna argumentera för att det beror på hur allvarligt felet är. Men även mindre fel kan ju leda till stora konsekvenser över tid så det blir inte lätt att göra bra och rättvisa bedömningar.

Dessutom som grädde på moset så riskerar det ju leda till att ersättarna mycket väl kan göra samma misstag, det är ju ingen garanti att det var inkompetens som orsakade problemet. Om något är det ju rutiner för kontroll osv som behöver ses över misstänker jag snarare än att sparka individuella utvecklare.

Gå till inlägget

Precis!

Och när någon gör ett dyrt misstag har man helt plötsligt investerat jättemycket pengar i dennes utbildning. Varför skulle man betala en jättedyr utbildning för någon för att därefter säga upp denne?

Se istället till att nyttja tillfället maximalt, dra alla lärdomar man kan utifrån hacket, så att vi kan arbeta bättre framåt. Jag såg mer av detta tänket i mina dagar som maskinoperatör inom bilindustrin än jag sett inom mjukvaruutveckling, men det är egentligen lika viktigt på alla arbetsplatser.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av BMac:

"Microsoft säger att samtliga fel har åtgärdats."

De har alltså sparkat utvecklarna och stängt ner hela 365?

Gå till inlägget

Varför skulle dom sparka utvecklare? får du sparken varje gång du gör ett misstag på jobbet?

Visa signatur

Moderkort: MSI MPG X570 Gaming plus CPU: Ryzen 7 5700X3D
RAM: Crucial Ballistix 16GB DDR4 3600 MHz Kylning: Noctua NH-D15 chromax.black Lagring: 4 x Samsung 840 Pro 500GB
Grafikkort :Sapphire Radeon™ RX 6950 XT PURE NITRO+ Nätaggregat: EVGA SuperNOVA 750 G2
Chassi: Fractal Design Define Vision S2 Blackout Monitor: HP OMEN 27 & Acer XF270HUC
Tangentbord: Corsair Gaming Strafe RGB MX SILENT Mus: SteelSeries Rival 700

Redigera
Citera flera Citera
Permalänk
Medlem

Tycker nog artikeln/MS ger en lite för enkel och nedskalad bild av situationen

Nyckeln läckte och kunde skapa giltiga tokens för alla microsofts tjänster i vilket namn som helst, säg bill.gates@ms.com eller mitt konto på mitt bolag

Teoretiskt sett kan de alltså fått full tillgång till vilket bolag som helst vars information finns på Microsofts tjänster

Nyckeln var läckt i flera månader, och Microsofts svar är ’lita på oss, vi har kollat’, men det finns inget sätt att veta om de installerat fler bakdörrar eller vilka kunder som påverkats

Det finns inga garantier alls på att något är fixat eller rätt, nyckeln som läckte var ju en av några få root-nycklar som kunde logga in vem som helst. Det är sjukt mycket värre (i teorin i alla fall) än vad MS får det att låta som. Det handlar inte bara om email som det först rapporterades om

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av bastardjim:

Finns säkert HSMer men det var inte problemet, felet ligger bla i att crash dumpen på en host innehöll nyckeln. Som utvecklare vill du kunna felsöka och ibland skriver du ut mer saker än vad du behöver från en crash dump.

Nyckeln var inte sparad lokalt på maskinen utan fanns i minnet när crashen skedde. Finns flera exempel på attacker som använde crash dump för att få ut information som skulle varit hemlig.

Gå till inlägget

Nyckeln ska inte finnas i minnet på någon vanlig maskin, det är precis poängen med en HSM. Till en HSM skickar du data och något som bevisar att du får använda en viss nyckel (vanligen en signatur med giltigt cert), sen använder HSM nyckeln internt för att göra operationen på data du skickat in (avkryptera/signera) och svarar sedan med resultatet

Det är precis därför nyckeln ska vara där inne, så den inte kan läckas. I det här fallet så fanns nyckeln alltså på fel ställe, i en maskin som kunde läcka den. MS visste inte att nyckeln var betrodd att göra alla dessa saker som den kunde, så den skyddades inte tillräckligt väl

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av robbankentor:

Varför skulle dom sparka utvecklare? får du sparken varje gång du gör ett misstag på jobbet?

Gå till inlägget

Det jag hängde upp mig på var ordet "samtliga". De skulle skrivit något i linje med att dessa mjukvarufelen var åtgärdade - inte alla fel.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av medbor:

Tycker nog artikeln/MS ger en lite för enkel och nedskalad bild av situationen

Nyckeln läckte och kunde skapa giltiga tokens för alla microsofts tjänster i vilket namn som helst, säg bill.gates@ms.com eller mitt konto på mitt bolag

Teoretiskt sett kan de alltså fått full tillgång till vilket bolag som helst vars information finns på Microsofts tjänster

Nyckeln var läckt i flera månader, och Microsofts svar är ’lita på oss, vi har kollat’, men det finns inget sätt att veta om de installerat fler bakdörrar eller vilka kunder som påverkats

Det finns inga garantier alls på att något är fixat eller rätt, nyckeln som läckte var ju en av några få root-nycklar som kunde logga in vem som helst. Det är sjukt mycket värre (i teorin i alla fall) än vad MS får det att låta som. Det handlar inte bara om email som det först rapporterades om

Gå till inlägget

Jag är inte jättebekant med detaljerna, men det de skriver får det att låta som att det var en "consumer key", och att det var en bugg specifikt i Outlook-lösningen som gjorde att den fungerade även för enterprise också just i den tjänsten (det är åtminstone det specifika stället de säger hade denna bugg).

Så det låter på dem som att den eventuellt fungerat för just: allt consumer + email för enterprise?

Sedan om någon haft tillgång till email kan de förstås ha fått tillgång till mer grejer indirekt genom att ha tillgång till email (lösenordsåterställning via email är väl ett typexempel), men sett till vad de fick tillgång till med hjälp av den där nyckeln i sig så låter det som att det varit just email om man nu talar om enterprise?

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av BMac:

Det jag hängde upp mig på var ordet "samtliga". De skulle skrivit något i linje med att dessa mjukvarufelen var åtgärdade - inte alla fel.

Gå till inlägget

Så det går inte att uppmärksamma, utbilda eller guida utvecklare? utan dom måste sparkas

Om det sker ett fel på ditt jobb och det är en anställd som har gjort fel, är inte samtliga problem lösta om han får mer utbildning?
Eller är samtliga problem lösta först när han får sparken?

Visa signatur

Moderkort: MSI MPG X570 Gaming plus CPU: Ryzen 7 5700X3D
RAM: Crucial Ballistix 16GB DDR4 3600 MHz Kylning: Noctua NH-D15 chromax.black Lagring: 4 x Samsung 840 Pro 500GB
Grafikkort :Sapphire Radeon™ RX 6950 XT PURE NITRO+ Nätaggregat: EVGA SuperNOVA 750 G2
Chassi: Fractal Design Define Vision S2 Blackout Monitor: HP OMEN 27 & Acer XF270HUC
Tangentbord: Corsair Gaming Strafe RGB MX SILENT Mus: SteelSeries Rival 700

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av BMac:

"Microsoft säger att samtliga fel har åtgärdats."

De har alltså sparkat utvecklarna och stängt ner hela 365?

Gå till inlägget
Skrivet av robbankentor:

Varför skulle dom sparka utvecklare? får du sparken varje gång du gör ett misstag på jobbet?

Gå till inlägget
Skrivet av BMac:

Det jag hängde upp mig på var ordet "samtliga". De skulle skrivit något i linje med att dessa mjukvarufelen var åtgärdade - inte alla fel.

Gå till inlägget
Skrivet av robbankentor:

Så det går inte att uppmärksamma, utbilda eller guida utvecklare? utan dom måste sparkas

Om det sker ett fel på ditt jobb och det är en anställd som har gjort fel, är inte samtliga problem lösta om han får mer utbildning?
Eller är samtliga problem lösta först när han får sparken?

Gå till inlägget

BMac gjorde sig väl bara lustig över att de "åtgärdat samtliga fel"?

Men man kan inte (tillförlitligt) åtgärda problem man inte känner till, eller utbilda folk om problem man inte känner till... så de har förmodligen åtgärdat (åtminstone försökt åtgärda) just de fel som upptäcktes i detta fall.

Om man ska åtgärda "samtliga fel" landar man ju lätt i mer radikala lösningar, i stil med vad BMac föreslog om att lägga ned hela MS365 (eller hela Microsoft, beroende på hur brett man ska tolka det) och göra sig av med samtliga anställda...

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av evil penguin:

Jag är inte jättebekant med detaljerna, men det de skriver får det att låta som att det var en "consumer key", och att det var en bugg specifikt i Outlook-lösningen som gjorde att den fungerade även för enterprise också just i den tjänsten (det är åtminstone det specifika stället de säger hade denna bugg).

Så det låter på dem som att den eventuellt fungerat för just: allt consumer + email för enterprise?

Sedan om någon haft tillgång till email kan de förstås ha fått tillgång till mer grejer indirekt genom att ha tillgång till email (lösenordsåterställning via email är väl ett typexempel), men sett till vad de fick tillgång till med hjälp av den där nyckeln i sig så låter det som att det varit just email om man nu talar om enterprise?

Gå till inlägget

Jag kan ha fel men som det presenterades för mig så hette nyckeln något med consumer som du säger, men alla tokens skapade med nyckeln var giltiga för enterprise i många fler fall inte bara outlook. De kunde skapa giltiga tokens för hela office365/azure om jag förstått det rätt, men ska hitta lite mer länkar innan jag lovar för mycket

Här är en i alla fall:
https://www.bleepingcomputer.com/news/security/stolen-microso...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av BMac:

"Microsoft säger att samtliga fel har åtgärdats."

De har alltså sparkat utvecklarna och stängt ner hela 365?

Gå till inlägget

Haha, gick in i tråden för att påpeka att Office 365 fortfarande tycks finnas till salu, men du förekom mig

Visa signatur

Nu lurade jag dig att slösa bort ett par värdefulla sekunder av ditt liv på att läsa denna fullständigt poänglösa signatur!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av medbor:

Jag kan ha fel men som det presenterades för mig så hette nyckeln något med consumer som du säger, men alla tokens skapade med nyckeln var giltiga för enterprise i många fler fall inte bara outlook. De kunde skapa giltiga tokens för hela office365/azure om jag förstått det rätt, men ska hitta lite mer länkar innan jag lovar för mycket

Här är en i alla fall:
https://www.bleepingcomputer.com/news/security/stolen-microso...

Gå till inlägget

Ja, där låter det ju som att den felaktiga hanteringen varit mycket bredare än det framgår i den Microsoft-rapport som artikeln hänvisar till... håller med, rätt så smutsigt om så är fallet.

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av talonmas:

Det är ofta så här hack går till. En slump. Sällan det är som i Hollywood att de har ett enda system som mål. De hackar på bred front och plötsligt hittar de svagaste länken.

Alternativt att de frågar på Facebook vad din första lärare och husdjur hette

Gå till inlägget

Det var precis såhär vi hackade en fiende i Tibia.
Vi frågade vad hans första jobb var, och vipps så hadde vi tillgång till hans hotmail och där låg lösenordet sparat i mail de skickat till varandra då dom delade accountet. Det här var på Valoria och karaktärens namn var Chullo.

Delar det hära, kanske vänn eller fiende läser forumet och kan få sig ilska eller skratt beroende vilken sida av staketet du satt 🤣

Visa signatur

ok

Redigera
Citera flera Citera
Permalänk
Medlem

Jag reagerar över detta:

Citat:

... Outlook-utvecklarna hade missat att uppdatera sina system för att göra skillnad på dessa två typer av nycklar...
... Där skulle ingen sådan nyckel ha funnits och att den fanns där berodde på att flera system som skulle se till att liknande hemligheter raderades inte fungerade. ...
... ytterligare ett system som söker igenom inkommande data och ska radera loginuppgifter och krypteringsnycklar missade nyckeln.

Ganska många icke-fungerande kontrollsystem där!

Redigera
Citera flera Citera
Permalänk
Medlem

https://www.bleepingcomputer.com/news/microsoft/hackers-stole...

Mer artiklar om det nu, nyckeln stals i en kraschdump redan 2021 och har varit läckt och i deras händer sedan dess…

” As Tamari said, the key could be used to impersonate any account within any impacted customer or cloud-based Microsoft application.”

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Olle P:

Jag reagerar över detta:
Ganska många icke-fungerande kontrollsystem där!

Gå till inlägget

Ja, det luktar lite efterhandskonstruktion, de kanske inte hade några kontrollsystem på plats överhuvudtaget.

Visa signatur

5950X, 3090

Redigera
Citera flera Citera
Permalänk
Medlem

Alla ni som jobbat i större organisationer bör veta att det är så hela tiden då ingen har grepp om hela helheten eller det är satt på resurser för att just finna den här typen av 'hål' då det inte går att slänga på vilken anställd som helst på den här typen av uppgift - då sådant kostar pengar, bli beroende av specialister (vilket de som håller i pengarna hatar mer än allt annat) och ev. resultatet av detta är svårmätt om det gör nytta eller inte - tills sådana här händelser sker och hela affärskonceptet kan börja ifrågasättas från kundsidan.

dvs. hanterar man känsligt material (och det inkluderad GDPR-material) så är det närmast tjänstefel om det hanteras via molntjänster som man inte själv äger och online-mjukvaror som office365 och windatorer som är kopplade till MS-konto, då efter x uppdateringar framåt smyger in onedrive som kopierar allt på desktopen utan brukarens vetskap etc. och andra snik-grejor som gör att datorerna börja läcka känslig information utan att användare egentligen har någon chans att upptäcka det eller i förväg stoppa det.

Hela marknadsföringen med molntjänster till låg pris handlar egentligen att med lockelse som låga kostnader för ekonomiavdelningarna att komma över användarens IP (intellektuella propery) och den vägen extrahera information och data som dels kan användas strategiskt mot kunderna (för hårdare inlåsning och göra dem mer beroende av olika tjänster som tex. att bygga lösningar som är beroende av MS Azure och inte går att flytta till annan miljö hos annat leverantör eller att man kan hosta det helt själv) och att sälja metadata kring den insamlade informationen utan att det kan spåras tillbaka till den aktuella datat som det hela bygger på.

Kort sagt det är som katolska kyrkans biktning - en underrättelstjänts och informationsinsamling för att värna om och skydda sin egna organisations intresse och bara den - inte 'boskapen' man mjölkar data ifrån och lever på...

Senast redigerat
Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara