Conselho de segurança cibernética dos EUA irá analisar a invasão do Microsoft Exchange a e-mails governamentais
14 de Agosto de 2023

O Departamento de Segurança Nacional dos EUA (DHS) anunciou planos para realizar uma revisão detalhada das práticas de segurança na nuvem após recentes ataques chineses às contas do Microsoft Exchange utilizadas por agências governamentais americanas.

O CSRB (Cyber Safety Review Board) é uma colaboração entre os setores público e privado, criada para realizar investigações aprofundadas que ofereçam uma melhor compreensão dos eventos críticos, discernir as causas principais e emitir recomendações informadas sobre cibersegurança.

Neste caso, o CSRB irá explorar como o governo, a indústria e os provedores de serviços na nuvem (CSPs) podem reforçar a gestão de identidade e autenticação na nuvem e desenvolver recomendações acionáveis de cibersegurança para todas as partes interessadas.

Essas recomendações serão encaminhadas para a CISA (Agência de Segurança de Infraestrutura Cibernética) e para a atual administração americana, que decidirão quais ações devem ser tomadas para proteger os sistemas e contas governamentais.

"Organizações de todos os tipos estão cada vez mais dependentes da computação em nuvem para prestar serviços ao povo americano, o que torna imperativo que compreendamos as vulnerabilidades dessa tecnologia", declarou Alejandro Mayorkas, Secretário de Segurança Interna.

"A segurança na nuvem é a espinha dorsal de alguns de nossos sistemas mais críticos, desde nossas plataformas de comércio eletrônico até nossas ferramentas de comunicação e nossa infraestrutura crítica."

Em meados de julho de 2023, a Microsoft informou que um grupo de hackers chineses conhecido como 'Storm-0558' invadiu as contas de e-mail de 25 organizações, incluindo agências governamentais dos EUA e da Europa Ocidental, usando tokens de autenticação falsificados a partir de uma chave de assinatura de consumidor da Microsoft roubada.

Usando essa chave roubada, os atores chineses exploraram uma vulnerabilidade zero-day na função GetAccessTokenForResource API para o Outlook Web Access no Exchange Online (OWA) para forjar tokens de autorização.

Esses tokens permitiram aos atores de ameaças se passar por contas do Azure e acessar as contas de e-mail de várias agências governamentais e organizações para monitorar e roubar e-mails.

Após esses ataques, a Microsoft enfrentou muitas críticas por não fornecer registro adequado aos clientes da Microsoft gratuitamente.

Em vez disso, a Microsoft exigiu que os clientes comprassem licenças adicionais para obter dados de registro que poderiam ter ajudado a detectar esses ataques.

Depois de trabalhar com a CISA para identificar dados de registro cruciais necessários para detectar ataques, a Microsoft anunciou que agora oferece gratuitamente para todos os seus clientes.

A Microsoft revogou a chave de assinatura roubada e corrigiu a falha da API para prevenir abusos futuros.

No entanto, sua investigação do incidente não conseguiu revelar exatamente como os hackers adquiriram a chave em primeiro lugar.

Duas semanas após a descoberta inicial da violação, pesquisadores da Wiz relataram que o acesso do Storm-0558 era muito mais amplo do que a Microsoft havia relatado anteriormente, incluindo aplicativos do Azure AD que operam com o OpenID v2.0 da Microsoft.

A Wiz revelou que os hackers chineses poderiam ter usado a chave comprometida para acessar vários aplicativos da Microsoft e quaisquer aplicativos de clientes que suportassem a autenticação da Conta Microsoft, então o incidente pode não se limitar a acessar e exfiltrar e-mails dos servidores do Exchange.

Dado o caráter grave da violação, os extensos esforços de investigação necessários e as descobertas inconclusivas até o momento, o governo americano encarregou o CSRB de realizar uma revisão abrangente do caso, na esperança de que produza insights que fortaleçam usuários, defensores e provedores de serviço contra ameaças futuras.

As revisões anteriores do CSRB incluem a série de vulnerabilidades amplamente impactantes no software Log4j em 2021 e as atividades do Lapsus$, um grupo de hackers que se destacou por invadir empresas da Fortune 500 usando técnicas simples, mas altamente eficazes, como a troca de SIM e engenharia social.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...