Microsoft offre maggiori informazioni su come gli hacker cinesi hanno avuto accesso agli account di posta elettronica del governo

La scorsa settimana, Microsoft ha riferito che un gruppo di hacker cinesi ha avuto accesso agli account di posta elettronica del governo negli Stati Uniti e in Europa . Nello specifico, il gruppo di hacker ha inserito account di posta elettronica che utilizzavano Outlook Web Access di Microsoft in Exchange Online e anche su Outlook.com.

In un successivo post sul blog , Microsoft ha offerto ulteriori dettagli su come questo gruppo, noto come Storm-0558, sia riuscito ad accedere a questi account utilizzando il sistema online dell’azienda. Microsoft ha dichiarato:

Storm-0558 ha acquisito una chiave di firma consumer MSA inattiva e l’ha usata per creare token di autenticazione per Azure AD enterprise e consumer MSA per accedere a OWA e Outlook.com. Tutte le chiavi MSA attive prima dell’incidente, inclusa la chiave di firma MSA acquisita dall’attore, sono state invalidate. Le chiavi di Azure AD non sono state interessate. Il metodo con cui l’attore ha acquisito la chiave è oggetto di indagine in corso. Sebbene la chiave fosse destinata solo agli account MSA, un problema di convalida ha consentito a questa chiave di essere considerata attendibile per la firma dei token di Azure AD. Questo problema è stato corretto.

Il blog spiega anche come il gruppo di hacker ha utilizzato questa chiave di firma per ottenere l’accesso alla versione web di Outlook:

Una volta autenticato tramite un flusso client legittimo che sfrutta il token contraffatto, l’autore della minaccia ha avuto accesso all’API OWA per recuperare un token per Exchange Online dall’API GetAccessTokenForResource utilizzata da OWA. L’attore è stato in grado di ottenere nuovi token di accesso presentandone uno precedentemente emesso da questa API a causa di un difetto di progettazione. Da allora questo difetto in GetAccessTokenForResourceAPI è stato corretto per accettare solo token emessi rispettivamente da Azure AD o MSA. L’attore ha utilizzato questi token per recuperare i messaggi di posta dall’API OWA.

Come parte dei suoi sforzi per risolvere questo problema, Microsoft ha apportato alcune modifiche alle sue procedure:

Ciò include un maggiore isolamento dei sistemi, un monitoraggio perfezionato dell’attività del sistema e il passaggio all’archivio delle chiavi rafforzato utilizzato per i nostri sistemi aziendali. Abbiamo revocato tutte le chiavi precedentemente attive e rilasciato nuove chiavi utilizzando questi sistemi aggiornati. La nostra indagine attiva indica che questi miglioramenti di rafforzamento e isolamento interrompono i meccanismi che riteniamo l’attore avrebbe potuto utilizzare per acquisire le chiavi di firma MSA.

Microsoft afferma che non è necessaria alcuna azione da parte dei suoi clienti Web di Outlook poiché afferma che “tutte le attività degli attori relative a questo incidente sono state bloccate”. Ha aggiunto che “continuerà a monitorare l’attività di Storm-0558 e ad implementare protezioni per i nostri clienti.