Source |
Schneier on Security |
Identifiant |
8366747 |
Date de publication |
2023-08-07 11:03:56 (vue: 2023-08-07 12:06:35) |
Titre |
Clé de signature Microsoft volé par chinois Microsoft Signing Key Stolen by Chinese |
Texte |
un tas de réseaux, y compris Réseaux de gouvernement américains ,ont été piratés par les Chinois.Les pirates ont utilisé des jetons d'authentification forgés pour accéder à l'e-mail des utilisateurs, en utilisant un Stolen Microsoft Azure Compte Conser Signing Key Key.Congrès veut / 08/03 / Congressional-Scritiny-Microsoft-Hack-Picks-up-Steam / "> Answers .La phrase & # 8220; pratiques de sécurité négligents & # 8221;est lancé sur & # 8212; et pour raison.Les clés de signature principale ne sont pas censées être laissées, attendant d'être volées.
En fait, deux choses ont mal tourné ici.La première est qu'Azure a accepté une clé de signature expirée, impliquant une vulnérabilité dans ce qui est censé vérifier la validité des clés.La seconde est que cette clé était censée rester dans le module de sécurité matérielle du système & # 8217; et ne pas être en logiciel.Cela implique une violation vraiment sérieuse d'une bonne pratique de sécurité.Le fait que Microsoft n'ait pas été à venir sur les détails de ce qui s'est passé me dit que les détails sont vraiment mauvais ...
A bunch of networks, including US Government networks, have been hacked by the Chinese. The hackers used forged authentication tokens to access user email, using a stolen Microsoft Azure account consumer signing key. Congress wants answers. The phrase “negligent security practices” is being tossed about—and with good reason. Master signing keys are not supposed to be left around, waiting to be stolen.
Actually, two things went badly wrong here. The first is that Azure accepted an expired signing key, implying a vulnerability in whatever is supposed to check key validity. The second is that this key was supposed to remain in the the system’s Hardware Security Module—and not be in software. This implies a really serious breach of good security practice. The fact that Microsoft has not been forthcoming about the details of what happened tell me that the details are really bad... |
Envoyé |
Oui |
Condensat |
“negligent about about—and accepted access account actually answers are around authentication azure bad badly been being breach bunch check chinese congress consumer details email expired fact first forged forthcoming good government hacked hackers happened hardware has have here implies implying including key keys left master microsoft module—and networks not phrase practice practices” really reason remain second security serious signing software stolen supposed system’s tell things tokens tossed two used user using validity vulnerability waiting wants went what whatever wrong |
Tags |
Vulnerability
|
Stories |
|
Notes |
★★★★
|
Move |
|