Az utolsó darabka

Bocsánat, ha valaki azt hitte, befejezem a blogot. Nem hagyom abba, a cikk címe utalás arra, ami évek óta nem fért a fejembe: a SolarWinds breach idején hogy szenvedhettek el támadást olyan cégek, akik nem is használták a SolarWinds temékeit? Ennek a puzzle-nek került az utolsó darabkája is a helyére a fejemben, viszont a történet sokkal súlyosabb annál, mint gondolnánk.

A business és a security kapcsolata

Aki ismer engem személyesen, ismeri a biztonsággal kapcsolatos hitvallásomat is. Minden gyanús, amíg nem bizonyosodok meg az ellenkezőjéről, ugyanakkor azt is vallom, hogy az önjáró cybersecurity-nek nincs helye semmilyen szervezetben, mert lehetetlenné teszi a munkát, a kooperációt és az üzleti tervek elérését. Az üzletet érintő döntéseket az üzletnek kell meghoznia, hogy aztán a C-level meghallgatja-e az érveket pro és kontra, az már az ő dolguk, de alapvetően a CISO-nak kell a cybersec szükségleteket lefordítani az üzlet nyelvére.

Van azonban egy ellenkező irányú része is ennek a láncolatnak: a profit kergetése nem mehet a biztonság rovására, különösen, ha az ügyfelek sokan vannak és mi biztonsági szolgáltatásokat kínálunk nekik, ugyanis - teljesen logikusan - ilyenkor már nem (csak) a mi biztonságunk a tét, hanem az ügyfeleinké is.

Mégis, hogy kerül ide a SolarWinds breach? Ígérem, ki fog derülni, de előtte még van 1-2 dolog, amit ismernünk kell a történet teljességének kedvéért.

Andrew Harris és a golden SAML

Harris egy kiberbiztonsági kutató, jelenleg a Crowdstrike-nál dolgozik, hozzájárulása jelentős hatással volt a SANS Institute gyakorlataira és kiberbiztonsági megközelítésére. A Crowdstrike előtt a Microsoftnál dolgozott és még a Solarwinds-ügy idején lelépett amiatt, ahogyan a Microsoft kezelte az általa felfedezett gyengeséget. Mindaz, amit manapság az Entrában látunk és identity managementhez tartozik, gyakorlatilag az ő és csapata munkája.

2016-ban Harris egy ügyet vizsgált, amelyben ismeretlen támadók betörtek egy nagy amerikai tech cég felhős rendszereibe és alig hagytak nyomot maguk után. Számos alkalmazást, szoftvert, megoldást tesztelt, melyikben lehet valami, amibe a támadó bele tudott kapaszkodni, végül eljutott egy meg nem nevezett Microsoft termékhez, amely naponta emberek millióit léptette be a nekik rendelt rendszerekbe. A probléma meglehetősen széles körű volt - nem csak az Azure volt érintett, hanem minden felhőszolgáltató, akik ezt a fajta beléptetést használták.

Harris kidolgozott egy workaroundot is a gyengeség elkerüléséhez, ehhez azonban a vásárlóknak le kellett volna kapcsolniuk a Microsoft által fejlesztett ADFS szolgáltatást. Harris mind a problémát, mind a workaroundot jelentette a Microsofton belül a megfelelő helyekre, a Microsoft azonban minden esetben elutasította, hogy reagáljon a problémára; a szövetségi kormányzat éppen egy nagyobb befektetést tervezett felhős szolgáltatásokba és egy ilyen hiba kipattanása egészen biztosan jelentősen rontotta volna a Microsoft pozícióit az ajánlattétel során. Azt is érdemes tudni, hogy az identity management piacán a cég éppen nagy harcban állt az Oktával.

Harris a golden SAML gyengeséget találta meg az ADFS-ben, de mivel a Microsoft folyamatosan visszautasította a cselekvést, a hibát végül az izraeli CyberArk publikálta saját kutatásaik alapján. További kontextus információ: a Microsoft Security Response Center (MSRC) is folyamatosan visszadobta a problémát, mondván, az nem lép át semmilyen biztonsági határvonalat. Az MSRC dolga az volt, hogy kivizsgálja a Microsoft termékeit érintő biztonsági kérdéseket és döntést hozzon arról, melyikkel kell foglalkozni. Az MSRC állandó nyomás alatt volt, magas workload, kevés ember kombinációban.

2019-ben aztán kipattant a SolarWinds-ügy.

Az utolsó darabka

A golden SAML egy post-exploit gyengeség, azaz a támadónak hozzáférést kell szereznie előbb egy rendszerhez, mielőtt ezt használhatná. A támadás a SolarWinds ellen 2019 szeptemberében indult, amikor a támadók behatoltak az Orion fejlesztési környezetébe, a golden SAML viszont csak egy évvel később,  2020 augusztusában került bevetésre. Ennek során a támadók nagyjából 18 ezer rendszert törtek fel, többek között a Microsoftot is, hozzájutva kódokhoz, dokumentumokhoz, malware-ekhez. A kompromittált rendszerek közé tartozik több amerikai kormányszervezet is, illetve olyanok is, akik nem voltak SolarWinds ügyfelek, viszont volt Microsoft Office 365 Cloud előfizetésük - az áldozatok körülbelül harmada.

Gondolatok

A SolarWinds meghackelését követően természetesen vizsgálatok indultak, ahol megállapítást nyert, hogy a Microsoft biztonsági kultúrája elégtelen és felújításra szorul. Jelen pillanatban én nem tudok szankciókról, amelyeket életbe léptettek a céggel szemben, én büntetőjogi felelősséget mindenképpen felvetnék - de nem vagyok jogász. Véleményem szerint az ügynek el kellett volna jutnia egészen C-szintig, ahol a CISO-nak el kellett volna magyaráznia a C-szint többi tagjának, miért kell Harris javaslatát megfogadni. Enélkül egy középvezető megakadályozta, hogy egy fontos biztonsági lépés eljusson a Microsoft ügyfeleihez, mert a várható zsíros állami szerződés fontosabbnak bizonyult.

Ennek pedig nagyon rossz az üzenete: csak a profit számít, bárki bőrére is menjen ki a játék - ezt pedig a létező leghatározottabban és a legkeményebb eszközökkel kellene a kormányzatoknak letörni.


CoreSec
2024.06.16.