Microsoft explica cómo un grupo de hackers chinos pudo acceder a cuentas de correo electrónico del gobierno

En julio, Microsoft reveló que un conocido grupo de hackers chino denominado Storm-0558 pudo acceder a cuentas de correo electrónico gubernamentales en Estados Unidos y Europa Occidental. La compañía dijo que el grupo «utilizó una clave MSA adquirida para falsificar tokens para acceder a OWA y Outlook.com». Añadió: «El actor aprovechó un problema de validación de tokens para hacerse pasar por usuarios de Azure AD y obtener acceso al correo empresarial».

Microsoft inició una investigación sobre cómo se adquirió la clave MSA (Cuenta de Microsoft) y cómo una clave de consumidor podía acceder a las cuentas de correo electrónico empresariales de Outlook. Esta semana, la compañía publicó sus hallazgos en su sitio web del Centro de respuestas de seguridad de Microsoft .

Microsoft dice que un evento que ocurrió hace más de dos años fue la causa de que el grupo obtuviera acceso a la clave MSA:’

Nuestra investigación encontró que una falla del sistema de firma de consumidores en abril de 2021 resultó en una instantánea del proceso bloqueado (“volcado de emergencia”). Los volcados de memoria, que eliminan información confidencial, no deben incluir la clave de firma. En este caso, una condición de carrera permitió que la clave estuviera presente en el volcado de memoria (este problema se ha corregido). Nuestros sistemas no detectaron la presencia del material clave en el volcado de emergencia.

Microsoft añadió que los datos del volcado de memoria se trasladaron «de la red de producción aislada a nuestro entorno de depuración en la red corporativa conectada a Internet», que era el procedimiento estándar. Sin embargo, un análisis de los datos del volcado de memoria no detectó la clave MSA. Microsoft dice que esto también se ha solucionado.

La compañía cree que Storm-0558 pudo obtener la clave MSA de los datos del volcado de memoria al comprometer una cuenta corporativa de uno de los ingenieros de Microsoft. No hay evidencia directa de esto que apunte a que una cuenta específica esté comprometida, pero Microsoft cree que «este fue el mecanismo más probable por el cual el actor adquirió la clave».

Finalmente, la compañía cree que Storm-0558 pudo duplicar la clave MSA y convertirla en una que se usó para acceder a cuentas de correo electrónico empresariales debido a un error al actualizar una API:

Como parte de una biblioteca preexistente de documentación y API auxiliares, Microsoft proporcionó una API para ayudar a validar las firmas criptográficamente, pero no actualizó estas bibliotecas para realizar esta validación de alcance automáticamente (este problema se ha corregido). Los sistemas de correo se actualizaron para utilizar el punto final de metadatos común en 2022. Los desarrolladores del sistema de correo asumieron incorrectamente que las bibliotecas realizaron una validación completa y no agregaron la validación de emisor/alcance requerida. Por lo tanto, el sistema de correo aceptaría una solicitud de correo electrónico empresarial utilizando un token de seguridad firmado con la clave del consumidor (este problema se corrigió utilizando las bibliotecas actualizadas).

Después de que se descubrió el incidente de piratería con cuentas de correo electrónico del gobierno, Microsoft bloqueó el uso de la clave MSA y también bloqueó el uso de tokens emitidos con la clave. En agosto, la Junta de Revisión de Seguridad Cibernética (CSRB) del gobierno de EE. UU . anunció que llevaría a cabo su propia investigación sobre el incidente . Será parte de un examen general de los piratas informáticos que persiguen los sistemas de computación en la nube y las empresas en general.