Hlavní navigace

Postřehy z bezpečnosti: Microsoft (zřejmě) zjistil, jak přišel o klíč

11. 9. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: © Nikolai Sorokin - Fotolia.com
V dnešním díle Postřehů se podíváme na závěry vyšetřování situace okolo klíče ukradeného společnosti Microsoft, novinky okolo spywaru Pegasus a potenciálně přelomové vyjádření zástupců Mezinárodního trestního soudu.

Novinky v případu podepisovacího klíče společnosti Microsoft

Společnost Microsoft v uplynulém týdnu publikovala nové informace o úniku podepisovacího klíče, s jehož pomocí získala v průběhu letošního června APT skupina Storm-0558, která má vazby na Čínu, přístup k e-mailovým schránkám přibližně 25 organizací, mezi nimiž byla i vybraná ministerstva Spojených států.

Dle vyjádření Microsoftu získala jmenovaná APT skupina přístup ke klíči, který jí umožnil vytvářet autentizační tokeny, ze snapshotu paměti (crash dump) produkčního podepisovacího procesu, který zhavaroval v dubnu 2021.

Tento snapshot byl v souladu s interními procesy Microsoftu přenesen k analýze z produkčního prostředí do testovacího (debugging) prostředí, přičemž systémy, které skenují takto přenášený obsah s cílem identifikovat případné přístupové údaje, klíč obsažený ve snapshotu neobjevily.  Ke snapshotu, umístěnému v testovacím prostředí, následně skupina Storm-0558 pravděpodobně získala přístup s pomocí kompromitovaného účtu jednoho z inženýrů společnosti Microsoft. Firma nemá k dispozici logy, které by tento postup jednoznačně prokázaly, dle dostupných informací se však údajně jeví jako nejpravděpodobnější.

V návaznosti na závěry z provedeného vyšetřování Microsoft vedle jiných nápravných opatření opravil chybu, v důsledku níž se podepisovací klíč ve snapshotu paměti procesu objevil, a rozšířil postup skenování materiálu přenášeného z produkčního do testovacího prostředí tak, aby v podobných situacích byly případné podepisovací klíče korektně identifikovány.

Zmínku však zaslouží, že ukončením vyšetřování a implementací nápravných opatření na straně Microsoftu celá aféra zřejmě nekončí, vzhledem k tomu, že americké federální organizace nedávno ustanovily speciální bezpečnostní výbor, který má přezkoumat úroveň kybernetické bezpečnosti v cloudových prostředích využívaných americkou vládou.

Spyware Pegasus využívá dvě nové 0-day zranitelnosti

Společnost Apple ve čtvrtek publikovala záplaty pro dvě 0-day zranitelnosti v operačním systému iOS (CVE-2023–41064 a CVE-2023–41061), které byly dle analýzy organizace Citizen Lab využívány pro šíření spywaru Pegasus.

Pegasus je komerčním produktem izraelské společnosti NSO Group, která jej prezentuje jako nástroj určený pro policejní orgány a státní bezpečnostní organizace, jimž má pomáhat v boji se zločinem, historicky byl však různými subjekty používán i k cílení na novináře nebo politiky.

Právě v souvislosti s využíváním tohoto nástroje proti politikům zaslouží zmínku minulý týden publikovaná zpráva polské senátní komise, která v průběhu rok a půl dlouhého vyšetřování zkoumala použití Pegasu proti senátoru Krzysztofu Brejzovi v roce 2019, kdy vedl opoziční kampaň v parlamentních volbách.

Komise ve své zprávě uvádí, že Pegasus byl v Polsku prokazatelně využíván k útokům na osoby, které byly nepohodlné režimu, a vedle doporučení na rozšíření dohledu nad prací zpravodajských služeb zmiňuje i možnost vznesení obvinění ze spáchání trestného činu proti bývalým a současným ministrům, kteří jsou s využíváním spywaru spojeni.

Mezinárodní trestní soud se bude nově zabývat i kybernetickými válečnými zločiny

Dle vyjádření Karima Khana, jednoho z prokurátorů Mezinárodního trestního soudu, které bylo publikováno v průběhu srpna, ale které si získalo širší ohlas až v uplynulém týdnu, sice aktuální řídící dokumentace jmenované instituce explicitně nezmiňuje kybernetické zločiny, avšak neznamená to, že by kybernetické útoky potenciálně nemohly dosáhnout úrovně, kdy by mohly být klasifikovány jako mezinárodní zločiny, které spadají do kompetence tohoto soudu (tedy válečné zločiny, zločiny proti lidskosti, genocida či zločiny agrese).

Následné vyjádření mluvčího prokuratury Mezinárodního trestního tribunálu potvrdilo, že stejný přístup ke kybernetickým zločinům oficiálně zaujala celá jmenovaná instituce.

CS24 tip temata

Přestože v žádném z uveřejněných vyjádření není explicitně zmiňováno Rusko a válka na Ukrajině, lze odůvodněně předpokládat, že právě tento válečný konflikt motivoval Mezinárodní trestní soud k přehodnocení jeho dosavadního přístupu a je tak možné, že první obvinění v oblasti kybernetických válečných zločinů by tak mohla být spojena právě s ním.

Další zajímavosti

Pro pobavení

I hear this is an option in the latest Ubuntu release.

I hear this is an option in the latest Ubuntu release.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.