Microsoft ofrece más información sobre cómo los piratas informáticos chinos obtuvieron acceso a las cuentas de correo electrónico del gobierno

La semana pasada, Microsoft informó que un grupo de piratas informáticos chinos obtuvo acceso a cuentas de correo electrónico gubernamentales en los EE. UU. y Europa . Específicamente, el grupo de piratas informáticos ingresó a cuentas de correo electrónico que usaban Outlook Web Access de Microsoft en Exchange Online y también en Outlook.com.

En una publicación de blog de seguimiento , Microsoft ofreció más detalles sobre cómo este grupo, conocido como Storm-0558, logró obtener acceso a estas cuentas utilizando el sistema en línea de la compañía. Microsoft declaró:

Storm-0558 adquirió una clave de firma de consumidor de MSA inactiva y la usó para falsificar tokens de autenticación para empresas de Azure AD y consumidores de MSA para acceder a OWA y Outlook.com. Todas las claves de MSA activas antes del incidente, incluida la clave de firma de MSA adquirida por el actor, han sido invalidadas. Las claves de Azure AD no se vieron afectadas. El método por el cual el actor adquirió la clave es un tema de investigación en curso. Aunque la clave estaba pensada solo para cuentas MSA, un problema de validación permitió que se confiara en esta clave para firmar tokens de Azure AD. Este problema ha sido corregido.

El blog también explica cómo el grupo de piratas informáticos usó esta clave de firma para obtener acceso a la versión web de Outlook:

Una vez autenticado a través de un flujo de cliente legítimo que aprovecha el token falsificado, el actor de amenazas accedió a la API de OWA para recuperar un token para Exchange Online de la API GetAccessTokenForResource utilizada por OWA. El actor pudo obtener nuevos tokens de acceso al presentar uno emitido anteriormente desde esta API debido a una falla de diseño. Esta falla en GetAccessTokenForResourceAPI se corrigió desde entonces para aceptar solo tokens emitidos desde Azure AD o MSA, respectivamente. El actor usó estos tokens para recuperar mensajes de correo de la API de OWA.

Como parte de sus esfuerzos por solucionar este problema, Microsoft ha realizado algunos cambios en sus procedimientos:

Esto incluye un mayor aislamiento de los sistemas, un control refinado de la actividad del sistema y el cambio al almacén de claves reforzado que se utiliza para nuestros sistemas empresariales. Hemos revocado todas las claves previamente activas y emitido nuevas claves utilizando estos sistemas actualizados. Nuestra investigación activa indica que estas mejoras de endurecimiento y aislamiento interrumpen los mecanismos que creemos que el actor podría haber usado para adquirir las claves de firma de MSA.

Microsoft dice que no se necesita ninguna acción por parte de sus clientes web de Outlook, ya que afirma que «toda la actividad de los actores relacionada con este incidente ha sido bloqueada». Agregó que «continuará monitoreando la actividad de Storm-0558 e implementará protecciones para nuestros clientes».