ماه پیش بود که مایکروسافت خبر از سرقت یه کلید خصوصی توسط هکرهای منتسب به چین، Storm-0558 ، رو داد که جزییات و ابعاد اون رو در این پست بررسی کردیم.
چیزی که از این رخداد به جا موند، این بود که هکرها چطوری به این کلید دسترسی و اونو دزدیدن. بعد از بررسی ، مایکروسافت اعلام کرده که هکرها بعد از دسترسی به حساب ایمیل مهندس مایکروسافت ، از طریق Crash Dump ویندوز به کلید دسترسی پیدا کردن.
ماجرا اینجوری بوده که در آوریل 2021، یکی از سیستم های امضای مشتری کرش میکنه و یه Crash Dump ایجاد میشه. اگرچه Crash Dumpها دارای اطلاعات حساس هستن ، اما نباید شامل کلید امضاء باشن. بدی ماجرا اینجا بوده که یه Race Condition رخ میده و کلید امضای MSA داخل این Crash Dump قرار میگیره. مایکروسافت گفته که این مشکل رو هم حل کرده.
اون زمان مایکروسافت نمیدونسته داخل این Crash Dump ، کلید هستش، در نتیجه طبق روالشون از شبکه ایزوله خارج و به محیط دیباگشون که به اینترنت متصله، انتقالش میدن.
هکرها از طریق هک حساب ایمیل مهندس مایکروسافت، که به محیط دیباگ حاوی Crash Dump دسترسی داشته، تونستن این کلید رو بدزدن.
مایکروسافت اعلام کرده که با بررسی که انجام داده، محتملترین راه برای بدست آوردن کلید همین سناریو بوده.