A Microsoft diz que os hackers chineses Storm-0558 roubaram uma chave de assinatura usada para invadir contas de email do governo de um relatório de falha do Windows após comprometerem a conta corporativa de um engenheiro da Microsoft.
Os invasores usaram a chave MSA roubada para invadir as contas do Exchange Online e do Azure Active Directory (AD) de aproximadamente duas dúzias de organizações, incluindo agências governamentais nos Estados Unidos, como os Departamentos de Estado e Comércio dos EUA.
Eles exploraram um problema de validação do zero-day agora corrigido na GetAccessTokenForResourceAPI, que os permitiu forjar tokens assinados de acesso e se passarem por contas dentro das organizações alvo.
Ao investigar o ataque do Storm-0558, a Microsoft descobriu que a chave MSA foi vazada em um dump de falha após um sistema de assinatura do consumidor ter falhado em abril de 2021.
Apesar do relatório de erros não dever ter incluído chaves de assinatura, uma condição de corrida levou à adição da chave.
Este relatório foi posteriormente movido da rede de produção isolada da empresa para o ambiente de depuração corporativa conectada à internet.
Os atores de ameaças encontraram a chave após comprometerem com sucesso a conta corporativa de um engenheiro da Microsoft, que tinha acesso ao ambiente de depuração que continha a chave erroneamente incluída no relatório de erros de abril de 2021.
"Devido às políticas de retenção de logs, não temos registros com evidências específicas desta exfiltração pelo ator, mas este foi o mecanismo mais provável pelo qual o ator adquiriu a chave", revelou a Microsoft hoje.
"Nossos métodos de varredura de credenciais não detectaram sua presença (esse problema foi corrigido)."
Enquanto a Microsoft disse quando divulgou o incidente em julho que apenas o Exchange Online e o Outlook foram impactados, a pesquisadora de segurança da Wiz, Shir Tamari, disse mais tarde que a chave de assinatura do consumidor da Microsoft comprometida proporcionou ao Storm-0558 amplo acesso aos serviços da nuvem da Microsoft.
Como Tamari disse, a chave poderia ser usada para se passar por qualquer conta dentro de qualquer cliente impactado ou aplicativo Microsoft baseado em nuvem.
"Isso inclui aplicativos gerenciados pela Microsoft, como o Outlook, SharePoint, OneDrive e Teams, bem como aplicativos de clientes que suportam a autenticação da conta Microsoft, incluindo aqueles que permitem a funcionalidade 'Login com a Microsoft'", disse Tamari.
“Tudo no mundo da Microsoft aproveita os tokens de autenticidade do Azure Active Directory”, também disse Ami Luttwak, CTO e cofundador da Wiz, à BleepingComputer.
"Um invasor com uma chave de assinatura do AAD é o invasor mais poderoso que você pode imaginar, porque eles podem acessar quase qualquer aplicativo - como qualquer usuário.
Este é o superpoder 'forma-cambiante' definitivo de inteligência cibernética."
"O certificado da antiga chave pública revelou que foi emitido em 5 de abril de 2016 e expirou em 4 de abril de 2021", acrescentou Tamari.
Mais tarde, a Redmond informou à BleepingComputer que a chave comprometida só poderia ser usada para atingir aplicativos que aceitavam contas pessoais e tiveram o erro de validação explorado pelos hackers chineses.
Em resposta à violação de segurança, a Microsoft revogou todas as chaves MSA válidas para impedir que os atores de ameaças acessassem outras chaves comprometidas.
Essa etapa também bloqueou efetivamente quaisquer esforços adicionais para gerar novos tokens de acesso.
Além disso, a Microsoft transferiu os tokens de acesso recentemente gerados para o armazenamento de chaves usado por seus sistemas empresariais.
Após a revogação da chave de assinatura roubada, a Microsoft não encontrou nenhuma evidência adicional de acesso não autorizado a contas de clientes usando a mesma técnica de falsificação de tokens de autenticação.
Pressionada pela CISA, a Microsoft também concordou em expandir o acesso aos dados de registro na nuvem gratuitamente para ajudar os defensores de rede a detectar tentativas de invasão semelhantes no futuro.
Antes disso, essas capacidades de registro só estavam disponíveis para clientes com licenças de registro Purview Audit (Premium).
Como resultado, Redmond enfrentou críticas consideráveis por impedir que as organizações detectassem prontamente os ataques do Storm-0558.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...