گییکوار عکاسی / کینو امیج

[Editor’s Note: Independent security consultant Christopher Budd worked previously in Microsoft’s Security Response Center for 10 years.]

تجزیہ: یہ سمجھنے کے لئے کہ شمسی توانائی سے چلنے والے حملہ آور کہاں جارہے ہیں ، اور ان سے کیسے دفاع کریں ، بادلوں کو دیکھیں۔

سولر وائنڈس سپلائی چین کے حملوں کا بہت سے واقعات بے مثال ہیں۔ یہ حملوں کی انجام دہی میں نفیس ، دائرہ کار میں وسیع ، اور ان کی تاثیر میں ناقابل یقین حد تک طاقت ور ہیں۔ لیکن شاید سب سے قابل ذکر وہ بے مثال طریقہ ہے جس میں سولر ونڈز کے حملہ آور اپنے کلیدی مقاصد میں سے ایک کے طور پر کلاؤڈ بیسڈ خدمات تک رسائی حاصل کرتے ہیں۔

یہ بات عیاں ہوتی جارہی ہے کیونکہ پچھلے ہفتے کے ابتدائی واقعات کی رپورٹ میں نئی ​​اطلاعات تکنیکی گنجائش سے رکاوٹ کے بارے میں معلومات کو واضح کرتی ہیں۔

پیر کے دن، نیویارک ٹائمز نے اطلاع دی وہ “[t]وہ روسی ہیکر ، جو ریاستہائے متحدہ کے سرکاری اداروں میں داخل ہوئے ، نے محکمہ ٹریژری کی سب سے سینئر قیادت کے زیر استعمال ای میل نظام کو توڑا۔ “یہ اس طرح جاتا ہے 13 دسمبر کو رائٹرز کی ایک رپورٹ“[h]ackers میں ٹوٹ [National Telecommunications and Information Administration] ذرائع نے بتایا کہ این ٹی آئی اے کے آفس سافٹ ویئر ، مائیکروسافٹ کے آفس 365۔ ایجنسی کے ملازمین کی ای میلوں کی نگرانی ماہرین ہیکروں نے کی۔ “

یہ رپورٹیں ، مائیکرو سافٹ اور نیشنل سیکیورٹی ایجنسی (این ایس اے) کے ذریعہ گذشتہ ہفتے جاری کردہ تکنیکی تفصیلات کے ساتھ مل کر ظاہر کرتی ہیں کہ کس طرح شمسی توانائی سے چلنے والے حملہ آوروں نے بادلوں پر مبنی خدمات کو اپنے حملوں کا ایک اہم مقصد بنایا ہے۔ خاص طور پر ، اگر ہم مختلف رپورٹس کو ڈی کوڈ کرتے ہیں اور نقطوں کو جوڑتے ہیں تو ہم دیکھ سکتے ہیں کہ سولر ونڈز حملہ آوروں نے سمجھوتہ کرنے والے نیٹ ورکس پر توثیق کرنے والے نظام کو نشانہ بنایا ہے تاکہ وہ بادل پر مبنی ہوں ، جیسے مائیکروسافٹ آفس 365 ، بغیر کسی الارم کے خدمات میں لاگ ان کریں۔ اس سے بھی بدتر بات یہ ہے کہ جس طریقے سے وہ اسے باہر لے جارہے ہیں وہ ممکنہ طور پر کسی تنظیم کی کلاؤڈ بیسڈ خدمات تک بہت سے لوگوں تک رسائی حاصل کرنے کے ل. ممکن ہے۔

یہ ہمیں بتاتا ہے کہ اب متعدد تنظیموں نے ہائبرڈ کے اطراف / بادل کے ماحول سے ملنے کے لئے حملہ آوروں نے اپنے حملہ کرنے کا طریقہ اپنی مرضی کے مطابق بنا لیا ہے۔ اس کا مطلب یہ ہے کہ سولر وائننڈ حملوں کے جواب دہندگان کو سمجھوتے کے ثبوت کے ل only نہ صرف ان کے سسٹم اور نیٹ ورکس بلکہ ان کی کلاؤڈ بیسڈ خدمات کو بھی دیکھنے کی ضرورت ہے۔ اس کا یہ مطلب بھی ہے کہ محافظوں کو اب سے اپنے کلاؤڈ خدمات کے توثیق کے نظام اور بنیادی ڈھانچے کی حفاظت اور نگرانی میں اضافہ کرنے کی ضرورت ہے۔

ہم ذیل میں تکنیکی تفصیلات تلاش کریں گے ، لیکن یہاں اہم راستے ہیں:

  1. سولر وائننڈ حملہ آوروں کی ایک اہم کارروائی نیٹ ورک پر ایک قدم جمانا ہے ، جس کا مقصد ایسے سسٹم ہیں جو کلاؤڈ پر مبنی خدمات کے ذریعہ شناخت کے ثبوت جاری کرتے ہیں اور شناخت جاری کرنے کے ذرائع چوری کرتے ہیں .
  2. ایک بار ان کے پاس ہونے کے بعد ، وہ اس کا استعمال جعلی آئی ڈی بنانے کے ل can کرسکتے ہیں جو حملہ آوروں کو جائز صارفین کو مسلط کرنے کے اہل بناتے ہیں یا وہ ایسے بدنیتی پر مبنی اکاؤنٹ بناتے ہیں جو جائز اکاؤنٹس تشکیل دیتے ہیں ، بشمول انتظامی (کل) کا استعمال شامل ہے۔
  3. چونکہ یہ IDs کلاؤڈ بیسڈ سروسز کے ذریعہ ڈیٹا اور خدمات تک رسائی فراہم کرنے کے ل are استعمال ہوتی ہیں ، حملہ آور جائز صارفین کی طرح ڈیٹا اور ای میل استعمال کرسکتے ہیں ، جن میں مکمل رسائی حاصل ہے ، اور وہ آؤ کریں.

یہ بہت امکان ہے کہ سولر وائنڈ حملہ آوروں نے اس طرح سے ٹریژری اور این ٹی آئی اے کے ای میل سسٹم تک رسائی حاصل کی: انہوں نے بادل پر مبنی خدمات تک رسائی حاصل کرنے کے لئے نیٹ ورک کے سمجھوتوں کا فائدہ اٹھایا۔ در حقیقت ، مائیکروسافٹ کی ایک پوسٹ میں سولر ونڈز حملے کے بارے میں بات کی گئی ہے “مائیکرو سافٹ 365 کو احاطے میں ہونے والے حملوں سے محفوظ رکھنا” جس کا اصل معنی ہے ، “اپنے نیٹ ورک کو کلاؤڈ سروسز معاہدے میں تبدیل کرکے سمجھوتہ کیسے کریں۔”

SAML کیا ہے اور اس سے کیوں فرق پڑتا ہے؟

سولر ونڈز کے حملوں کے اس پہلو کو سمجھنے کے ل it ، یہ جاننا ضروری ہے کہ SAML “سیکیورٹی زور مارک اپ کی زبان. “یہ کلاؤڈ پر مبنی خدمات میں استناد (یعنی لاگ آن) استعمال کرنے کا ایک طریقہ ہے۔” SAML ٹوکن “اس خدمت کا اصل” ثبوت “ہے جس کے بارے میں آپ کہتے ہیں کہ آپ کون ہیں۔

کلاؤڈ یا توثیق کرنے والی ٹیکنالوجیز کے ماہرین کو ٹریژری یا این ٹی آئی اے کی پیشرفت حیرت انگیز نہیں ملے گی: مائیکرو سافٹ نے 13 دسمبر کو اپنی پوسٹنگ میں اس پہلو کی وضاحت کی۔حالیہ قومی ریاست سائبر حملوں کے بارے میں صارفین کی رہنمائی“اور”حالیہ قومی ریاست سائبر حملے سے صارفین کو بچانے کے لئے اہم اقدامات. “دونوں پوسٹنگ کی زبان ایک جیسی ہے:

  • گھسنے والے “تنظیم کے عالمی ایڈمن اکاؤنٹ اور / یا قابل اعتماد ایس ایم ایل ٹوکن دستخطی سند کو حاصل کرنے کے لئے آن پریمسس معاہدے کے ذریعے حاصل کردہ انتظامی اجازتوں کا استعمال کرتے ہیں۔ اس سے اداکار کو ایس ای ایل ایل ٹوکن بنانے میں مدد ملتی ہے جس سے تنظیم کو اجازت مل جاتی ہے۔ کسی بھی موجودہ صارف اور اکاؤنٹ پر مشتمل ہے ، بشمول استحقاق مراعات۔ “
  • سمجھوتہ کرنے والے ٹوکن متضاد لاگون-احاطے کے وسائل (شناختی نظام یا فروش سے قطع نظر) کے ساتھ ساتھ کسی بھی بادل ماحول (وینڈر سے قطع نظر) دستخطی سرٹیفکیٹ کے ذریعہ تخلیق کردہ ایس ایم ایل ٹوکن کا استعمال کرتے ہوئے بنایا جاسکتا ہے۔ وہ کنفیگرڈ ٹرسٹ سرٹیفکیٹ ہیں۔ چونکہ SAML ٹوکن ان کے اپنے قابل اعتماد سرٹیفکیٹ پر دستخط کرتے ہیں ، لہذا تنظیم کی طرف سے تضادات کو کھو دیا جاسکتا ہے۔ “

اس کے بعد مائیکرو سافٹ نے بلاگ پوسٹوں کا ایک سلسلہ جاری کیا جس میں سولر ونڈز کے حملوں ، ایس ای ایم ایل اور سراغ لگانے کی تکنیک پر تبادلہ خیال کیا گیا تھا۔15 دسمبر؛ 18 دسمبر؛ 21 دسمبر؛ اور 21 دسمبر).

دریں اثنا ، 18 دسمبر کو ، NSA نے ایک ہدایت نامہ جاری کیا “توثیق کے طریقہ کار کے غلط استعمال کی کھوج۔“اگرچہ شمسی توانائی سے ہونے والے حملوں کے بارے میں مخصوص رد عمل میں نہیں ہے ، وہ ایس ایم ایل کے حملوں پر تبادلہ خیال کرتا ہے اور ان حملوں کے تناظر میں سولر ونڈز کے حملوں کو پیش کرتا ہے ، جو 2017 سے شروع ہوچکے ہیں۔

ان تمام پوسٹنگ میں معلومات بکھر گئ ہیں ، لیکن وہ ایک ساتھ یہ واضح کرتے ہیں کہ:

  • جب وہ نیٹ ورک پر قدم جمانے کے لئے سولر وائننڈ حملہ آوروں کی ایک اہم کارروائی کررہے ہیں ،[steal] فیڈریشن سرور (ADFS) کی طرف سے SAML ٹوکن پر دستخط کرنے والا سرٹیفکیٹ ٹوکن سائن اننگ سرٹیفکیٹ (TSC) کہلاتا ہے۔ ” [Source]
  • ایک بار جب وہ ان کے پاس ہوجائیں تو ، اس سے انہیں “تنظیم میں کسی بھی موجودہ صارفین اور اکاؤنٹس کو ، جس میں مراعات یافتہ اکاؤنٹس بھی شامل ہیں ، کی نقالی کرنے کے لئے SAML ٹوکن تیار کرنے کی سہولت ملتی ہے۔” [Source]
  • چونکہ “[d]عطا تکمیل نے توثیق شدہ دستاویزات کا استعمال کرتے ہوئے توسیس کی توثیق کرکے اور ان تک رسائی کے ذریعہ صارف فائلوں / ای میل تک رسائی حاصل کرنے یا ایپلیکیشنز یا سروس پرنسپلز کی نقالی کرنے کے لئے SAML ٹوکن کا فائدہ اٹھانے پر انحصار کیا ہے…[t]اداکار وقتا فوقتا VPS فراہم کنندہ میں سرور سے مخصوص صارف کے ای میلوں تک رسائی حاصل کرنے کے لئے منسلک درخواست یا سروس پرنسپل کو حاصل کردہ اجازتوں کا استعمال کرتا ہے۔ ” [Source]

اس کا کیا مطلب ہے؟

سیکیورٹی پیشہ ور افراد کے لئے ، یہاں کوئی نئی یا حیرت انگیز نہیں ہے: نیٹ ورک تک مکمل رسائی کا مطلب ہے کہ آپ اس کے ساتھ کچھ بھی کرسکتے ہیں۔ اس کے علاوہ ، NSA دستاویز میں 2017 سے ان حملوں کو دیکھا گیا ہے۔ لیکن یہ وسیع نمائش کے ساتھ پہلا بڑا حملہ ہے جو کلاؤڈ پر مبنی توثیق کے طریقہ کار کو نشانہ بناتا ہے۔ تکنیکی رپورٹ کے ساتھ مل کر ان رپورٹس کا مطلب ہے کہ بہت سے لوگ ابھی تک ان نقطوں سے جڑے نہیں ہیں۔

اس سے مدد نہیں ملتی کہ اس پہلو پر کچھ گفتگو غیر واضح ہو۔ کچھ رپورٹوں میں اشارہ کیا گیا ہے کہ ٹریژری یا این ٹی آئی اے ای میل میں دخل میں شامل مائیکروسافٹ مصنوعات یا خدمات کو متاثر کرنے کا ایک خطرہ ہے۔ میں نے مائیکرو سافٹ سے پوچھا کہ کیا اس میں کوئی خطرہ موجود ہے اور انھوں نے جواب دیا: “ہم نے ان تفتیشوں میں مائیکروسافٹ کے کسی مصنوع یا کلاؤڈ سروس کے خطرات کی نشاندہی نہیں کی ہے۔ ایک بار نیٹ ورک میں آنے کے بعد ، دخل اندازی کرنے والوں کو استحکام حاصل کرنے کے لئے دامن کے حصول کا استعمال کیا جاتا ہے اور وہ اس استحقاق کو رسائی حاصل کرنے کے ل. استعمال کرتا ہے۔ “

این ایس اے یہ بھی کہتا ہے ، “[b]y فیڈریٹڈ توثیق کو غلط استعمال کرکے ، اداکار خطرے کا استحصال نہیں کررہے ہیں [the Microsoft authentication technologies] اے ڈی ایف ایس ، اے ڈی ، یا اے اے ڈی ، مربوط اجزاء میں قائم ٹرسٹ کو غلط استعمال کرتے ہوئے۔ “یہ میرے بیان کردہ مطابق ہے: آپ کے نیٹ ورک کے مالک حملہ آوروں کو آپ کے بادل پر مبنی خدمات تک رسائی کے ل a کسی خطرے کی ضرورت نہیں ہے۔ انہیں پہلے ہی ان سب کو کھینچنے کی ضرورت ہے۔

اور جب کہ مباحثے نے مائیکرو سافٹ کی کلاؤڈ بیسڈ خدمات پر توجہ مرکوز کی ہے ، ابھی تک ایسی کوئی معلومات دستیاب نہیں ہے جس سے یہ ظاہر ہوتا ہے کہ یہ حملے صرف ان کی مصنوعات یا خدمات کے خلاف ہوسکتے ہیں۔ SAML ایک کھلا معیار ہے جو وسیع پیمانے پر مائیکروسافٹ کے علاوہ دیگر دکانداروں کے ذریعہ پیش کیا جاتا ہے اور مائیکروسافٹ کلاؤڈ بیسڈ خدمات کے ذریعہ استعمال ہوتا ہے۔ اس طرح کے SAML پر مبنی حملوں کے خلاف شمسی توانائی سے ہونے والے حملوں اور آئندہ بادل خدمات میں مائیکروسافٹ SAML فراہم کرنے والے اور کلاؤڈ سروس فراہم کرنے والے شامل ہوسکتے ہیں۔

اگلا قدم

اس سب کو ذہن میں رکھتے ہوئے ، لوگوں کو آگے کیا اقدامات اٹھانا چاہئے؟

پہلے ، اگر آپ کی تنظیم نے آپ کے نیٹ ورک پر سولر وائنڈ فائلوں کے ساتھ چھیڑ چھاڑ کی ہے تو ، آپ کے واقعے کے رد عمل میں ممکنہ سمجھوتہ کے ل your آپ کے بادل پر مبنی خدمات کے ل your آپ کے توثیقی نظام کو جانچنا شامل ہے۔ اور اگر آپ یہ مسترد نہیں کرسکتے ہیں کہ یہ معاہدہ طے پایا ہے ، تو آپ کو ان خدمات کی سالمیت کی تصدیق کرنی ہوگی۔

اس کے بعد ، کلاؤڈ پر مبنی خدمات استعمال کرنے والے تمام افراد کو NSA کی ہدایات کو بہت سنجیدگی سے لینے کی ضرورت ہے اور ان کے کلاؤڈ پر مبنی خدمت کی توثیق کے طریقہ کار کی حفاظت اور نگرانی میں اضافہ کرنے کو ترجیح دی جائے گی۔

آخر میں ، مزید تنظیموں کی کلاؤڈ پر مبنی خدمات کے بارے میں سننے کے لئے تیار رہیں جو سولر وائنڈ کے حملوں کے ایک حصے کے طور پر سمجھوتہ کرتی ہیں۔ یہ ہم نے دیکھا ہے کہ سب سے بڑا ، وسیع پیمانے پر حملہ ہے۔ اس کے نتیجے میں ، یہ ایک ایسی حالت ہے جس میں مہینوں کی ضرورت ہے ، اگر مہینوں نہیں تو ، مکمل طور پر بے قابو ہوجائیں۔


From : www.geekwire.com

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like

ناسا نے بلیو اوریجن کے آئندہ نیو گلن راکٹ کو اپنی لانچ سروسز کے کیٹلاگ میں شامل کیا ہے

ایک فنکار کا تصور اپنے لانچنگ پیڈ پر نیا گلین راکٹ دکھاتا…

پیلیٹن ، پریسور کے لئے $ 420M کی ادائیگی کے لئے ، فٹنس سازوسامان کا طویل عرصہ سے سیٹل ایریا بنانے والا

(پیلیٹن تصویر) پیلیٹن پیر کو اعلان کیا کہ یہ حاصل کر رہا…

ایمیزون ملازم الاباما کے شہر بسمر میں تکمیل مرکز میں فوت ہوگیا

واش. اسپوکین ، واش میں ایک ایمیزون پورا کرنے کا مرکز۔ خبریں:…

یو ایس این سی-ٹیک اور بلیو اوریجن نے جوہری تھرمل فروغ دینے کے ڈیزائن کا معاہدہ حاصل کیا

ایک فنکار کا تصور ایک خلائی جہاز کو جوہری تھرمل فروغ دینے…