Microsoft ИИ непреднамеренно раскрыл секрет, предоставив доступ к 38 ТБ конфиденциальных данных в течение 3 лет.

Неожиданно рассекреченный секрет Microsoft ИИ подверг рассекречиванию 38 ТБ конфиденциальных данных за 3 года.

Команда исследователей WIZ Research недавно обнаружила, что SAS-токен был доступен на GitHub уже почти три года. Этот токен предоставлял доступ к огромному хранилищу Azure объемом 38 терабайт. В этом хранилище Azure были также обнаружены секреты, такие как личные SSH-ключи, скрытые в резервных копиях дисков двух сотрудников Microsoft. Это открытие подчеркивает важность надежных мер по обеспечению безопасности данных.

Что произошло?

WIZ Research недавно раскрыл случай незащищенности данных, найденный в репозитории Microsoft AI на GitHub 23 июня 2023 года.

При работе с GitHub исследователи использовали функцию совместного использования хранилища Azure с помощью SAS-токена, чтобы предоставить доступ к набору данных открытого искусственного интеллекта.

Однако этот токен был неправильно настроен и давал доступ ко всему хранилищу облачных данных вместо назначенного набора.

В хранилище данных содержалось 38 терабайт информации, включая резервные копии дисков рабочих станций двух сотрудников с секретами, личными ключами, паролями и более 30 000 внутренних сообщений команды Microsoft Teams.

SAS (Shared Access Signatures) – это подписанные URL для совместного использования ресурсов Azure Storage. Они настраиваются с помощью точных контролов над доступом клиента к данным: какие ресурсы доступны (весь аккаунт, контейнер или выбор файлов), с какими разрешениями и насколько долго. См. документацию Azure Storage.

После того, как инцидент был раскрыт компании Microsoft, SAS-токен был аннулирован. От первого коммита на GitHub (20 июля 2020 года) до его отзыва прошло почти три года. См. временную линию, представленную командой исследователей Wiz:

Тем не менее, как отмечает команда исследователей WIZ, в этом случае была неправильная настройка Shared Access Signature (SAS).

Раскрытие данных

Этот токен позволял любому человеку получить доступ к 38 терабайтам данных, включая конфиденциальные сведения, такие как секретные ключи, личные пароли и более 30 000 внутренних сообщений Microsoft Teams от сотен сотрудников Microsoft.

Вот некоторые из самых конфиденциальных данных, восстановленных командой Wiz:

Как отмечают исследователи, это могло бы позволить злоумышленнику внедрить вредоносный код в хранилище блобов, который автоматически выполнялся бы при каждой загрузке пользователем (предположительно исследователем искусственного интеллекта), доверяющим репутации Microsoft. Это могло бы стать причиной атаки через цепочку поставок.

Риски безопасности

По мнению исследователей, представленный в их исследовании Account SAS-токен представляет высокий уровень риска для безопасности. Это связано с тем, что такие токены имеют высокий уровень разрешений и долгий срок действия, поэтому они уходят за пределы мониторинга администраторов.

При создании нового токена он подписывается браузером и не вызывает никаких событий Azure. Чтобы отозвать токен, администратору необходимо изменить ключ учетной записи, что влечет отзыв всех других токенов одновременно.

Ирония заключается в том, что риск безопасности функции продукта Microsoft (Azure SAS-токены) привел к инциденту в команде исследования Microsoft. Этот риск недавно был отражен во второй версии матрицы угроз Microsoft для хранилища данных:

Распространение секретов

Данный пример иллюстрирует распространенную проблему распространения секретов в организациях, даже в тех, где предусмотрены продвинутые меры безопасности. Здесь интересно, как исследовательская команда по искусственному интеллекту или любая другая команда по работе с данными может самостоятельно создать токены, которые могут потенциально поставить под угрозу организацию. Эти токены могут проворно обходить меры безопасности, предназначенные для защиты среды.

Стратегии смягчения

Для пользователей Azure Storage:

1 – Избегайте использования SAS-токенов учетной записи

Отсутствие мониторинга делает эту функцию уязвимым местом в вашем периметре безопасности. Лучший способ обмена данными внешне — использование служебного SAS-токена с политикой доступа. Эта функция связывает токен SAS с политикой, обеспечивая возможность централизованного управления политиками токенов.

Однако лучше всего, если вам не нужно использовать эту функцию обмена хранилищем Azure, просто отключить доступ через SAS для каждой вашей учетной записи.

2 – Включение аналитики хранилища Azure

Использование активного токена SAS можно отслеживать через журналы аналитики хранилища для каждого из ваших учетных записей хранилища. Метрики Azure позволяют мониторить авторизованные запросы с использованием SAS и определять аккаунты хранилища, к которым был осуществлен доступ через токены SAS в течение до 93 дней.

Для всех:

1 – Проверьте свой периметр в GitHub на наличие уязвимых учетных данных

Учитывая около 90 миллионов учетных записей разработчиков, 300 миллионов хранимых репозиториев и 4 миллиона активных организаций, включая 90% компаний из списка Fortune 100, платформа GitHub представляет собой значительно большую атакуемую поверхность, чем может показаться.

В прошлом году GitGuardian обнаружил 10 миллионов утечек секретов в открытых репозиториях, что на 67% больше, чем в предыдущем году.

GitHub должен активно мониториться в рамках защитного периметра организации. Инциденты, связанные с утечкой учетных данных на платформе, продолжают вызывать масштабные нарушения для крупных компаний, а эта уязвимость в защитной оболочке Microsoft не могла не напомнить нам о произошедшей год назад утечке данных в Toyota.

7 октября 2022 года японский производитель автомобилей Toyota объявил, что они случайно выложили учетные данные для доступа к данным клиентов в публичном репозитории на GitHub на протяжении почти 5 лет. Код был доступен с декабря 2017 года по сентябрь 2022 года.

Если в вашей компании есть команды разработчиков, вероятно, некоторые секретные данные вашей компании (ключи API, токены, пароли) могут оказаться в открытом доступе на GitHub. Поэтому настоятельно рекомендуется проверить атакуемую поверхность в GitHub в рамках программы управления атакуемой поверхностью.

Финальные слова

Каждой организации, независимо от размера, необходимо быть готовой противостоять широкому спектру новых рисков. Эти риски зачастую связаны с недостаточным мониторингом обширной софтверной деятельности в современных предприятиях. В данном случае исследовательская команда по искусственному интеллекту ненароком создала и оставила неправильно настроенную ссылку на обмен облачным хранилищем, обойдя защитные меры. Но сколько других отделов – поддержка, продажи, операции или маркетинг – могут оказаться в похожей ситуации? Увеличивающаяся зависимость от программного обеспечения, данных и цифровых услуг усиливает киберриски на глобальном уровне.

Противодействие распространению конфиденциальной информации и связанным с ней рискам требует переоценки возможностей надзора и управления со стороны команд безопасности.