Falha permitiu que hackers invadissem organizações através de tokens falsificados do Azure AD
17 de Julho de 2023

Na sexta-feira, a Microsoft disse que um erro de validação em seu código-fonte permitiu que tokens do Azure Active Directory (Azure AD) fossem forjados por um ator malicioso conhecido como Storm-0558, utilizando uma chave de assinatura de consumidor de conta da Microsoft (MSA) para violar duas dúzias de organizações.

"Storm-0558 adquiriu uma chave de assinatura de consumidor MSA inativa e usou-a para forjar tokens de autenticação para o Azure AD empresarial e o consumidor MSA para acessar o OWA e o Outlook", disse o gigante da tecnologia em uma análise mais aprofundada da campanha.

"O método pelo qual o ator adquiriu a chave é objeto de investigação."

"Embora a chave tenha sido projetada apenas para contas MSA, um problema de validação permitiu que essa chave fosse confiável para assinar tokens do Azure AD.

Esse problema foi corrigido."

Não está claro imediatamente se o problema de validação do token foi explorado como uma "vulnerabilidade zero-day" ou se a Microsoft já tinha conhecimento do problema antes de ser abusada.

Os ataques visaram aproximadamente 25 organizações, incluindo entidades governamentais e contas de consumidores associadas, para obter acesso não autorizado a e-mails e exfiltrar dados de caixa de correio.

Diz-se que nenhum outro ambiente foi impactado.

A companhia foi alertada sobre o incidente depois que o Departamento de Estado dos EUA detectou atividades de email anômalas relacionadas ao acesso de dados do Exchange Online.

Suspeita-se que Storm-0558 seja um ator de ameaça baseado na China, conduzindo atividades cibernéticas maliciosas consistentes com espionagem, embora a China tenha refutado as alegações.

Os principais alvos do grupo hacker incluem os órgãos governamentais diplomáticos, econômicos e legislativos dos EUA e europeus, e indivíduos ligados aos interesses geopolíticos de Taiwan e Uyghur, além de empresas de mídia, think tanks e provedores de serviços e equipamentos de telecomunicações.

Diz-se que ele está ativo desde pelo menos agosto de 2021, orquestrando a coleta de credenciais, campanhas de phishing e ataques com tokens OAuth visando contas da Microsoft para perseguir seus objetivos.

"Storm-0558 opera com alto grau de técnica e segurança operacional", disse a Microsoft, descrevendo-o como tecnicamente hábil, bem financiado e com um entendimento agudo de várias técnicas e aplicações de autenticação.

"O grupo está plenamente consciente do ambiente, políticas de log, requisitos de autenticação, políticas e procedimentos do alvo".

O acesso inicial às redes alvo é realizado através de phishing e exploração de falhas de segurança em aplicações de enfrentamento público, levando ao uso do comando China Chopper para acesso backdoor e uma ferramenta chamada Cigril para facilitar o roubo de credenciais.

Storm-0558 também usa scripts PowerShell e Python para extrair dados de email, como anexos, informações de pastas e conversas inteiras, utilizando as chamadas de API do Outlook Web Access (OWA).

A Microsoft disse que, desde a descoberta da campanha em 16 de junho de 2023, "identificou a causa raiz, estabeleceu rastreamento sólido da campanha, interrompeu atividades maliciosas, reforçou o ambiente, notificou todos os clientes impactados e coordenou com várias entidades governamentais".

Ela também observou que mitigou a questão "em nome dos clientes" a partir de 26 de junho de 2023.

O alcance exato da violação permanece incerto, mas é o último exemplo de um ator de ameaça baseado na China conduzindo ataques cibernéticos em busca de informações sensíveis e realizando um golpe de inteligência furtivo sem atrair atenção por pelo menos um mês antes de ser descoberto em junho de 2023.

A revelação surge quando a Microsoft enfrenta críticas por sua resposta ao ataque e por limitar os recursos de análise forense a barreiras adicionais de licença, impedindo que os clientes acessem logs de auditoria detalhados que poderiam ter ajudado a analisar o incidente.

"Cobrar das pessoas por recursos premium necessários para não ser hackeado é como vender um carro e depois cobrar a mais por cintos de segurança e airbags", foi citado o senador americano Ron Wyden.

O desenvolvimento também chega à medida que o Comitê de Inteligência e Segurança do Parlamento do Reino Unido (ISC) publicou um Relatório detalhado sobre a China, destacando sua "capacidade altamente eficaz de espionagem cibernética" e sua capacidade de penetrar uma variedade diversificada de sistemas de TI governamentais e do setor privado estrangeiro.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...