Microsoft legt uit hoe een Chinese hackergroep toegang kreeg tot e-mailaccounts van de overheid

In juli onthulde Microsoft dat een bekende Chinese hackergroep met de naam Storm-0558 toegang had tot e-mailaccounts van de overheid in de Verenigde Staten en West-Europa. Het bedrijf zei dat de groep “een verworven MSA-sleutel gebruikte om tokens te vervalsen voor toegang tot OWA en Outlook.com.” Het voegde eraan toe: “De acteur misbruikte een tokenvalidatieprobleem om zich voor te doen als Azure AD-gebruikers en toegang te krijgen tot zakelijke e-mail.”

Microsoft is een onderzoek gestart naar de manier waarop de MSA-sleutel (Microsoft Account) werd verkregen en hoe een consumentensleutel toegang kreeg tot zakelijke Outlook-e-mailaccounts. Deze week plaatste het bedrijf zijn bevindingen op zijn Microsoft Security Responses Center-website .

Microsoft zegt dat een gebeurtenis die ruim twee jaar geleden plaatsvond er de oorzaak van was dat de groep toegang kreeg tot de MSA-sleutel:’

Uit ons onderzoek is gebleken dat een crash van het ondertekeningssysteem voor consumenten in april 2021 resulteerde in een momentopname van het gecrashte proces (“crashdump”). De crashdumps, die gevoelige informatie redigeren, mogen de handtekeningsleutel niet bevatten. In dit geval zorgde een raceconditie ervoor dat de sleutel aanwezig was in de crashdump (dit probleem is gecorrigeerd). De aanwezigheid van het sleutelmateriaal op de stortplaats werd niet door onze systemen gedetecteerd.

Microsoft voegde eraan toe dat de crashdumpgegevens vervolgens werden verplaatst van “verplaatst van het geïsoleerde productienetwerk naar onze foutopsporingsomgeving op het met internet verbonden bedrijfsnetwerk”, wat de standaardprocedure was. Bij een scan van de crashdumpgegevens werd de MSA-sleutel echter niet gedetecteerd. Microsoft zegt dat dit ook is opgelost.

Het bedrijf gelooft dat Storm-0558 de MSA-sleutel uit de crashdumpgegevens heeft kunnen halen door een bedrijfsaccount van een van de technici van Microsoft te compromitteren. Er is geen direct bewijs hiervoor dat erop wijst dat een specifiek account is gecompromitteerd, maar Microsoft gelooft wel dat “dit het meest waarschijnlijke mechanisme was waarmee de actor de sleutel heeft verkregen.”

Ten slotte gelooft het bedrijf dat Storm-0558 de MSA-sleutel kon dupliceren en deze kon omzetten in een sleutel die werd gebruikt om toegang te krijgen tot zakelijke e-mailaccounts vanwege een fout bij het updaten van een API:

Als onderdeel van een reeds bestaande bibliotheek met documentatie en helper-API’s heeft Microsoft een API geleverd om de handtekeningen cryptografisch te helpen valideren, maar heeft deze bibliotheken niet bijgewerkt om deze bereikvalidatie automatisch uit te voeren (dit probleem is gecorrigeerd). De mailsystemen zijn in 2022 bijgewerkt om het gemeenschappelijke metadata-eindpunt te gebruiken. Ontwikkelaars in het mailsysteem gingen er ten onrechte van uit dat bibliotheken volledige validatie uitvoerden en voegden niet de vereiste validatie van de uitgever/scope toe. Het e-mailsysteem zou dus een verzoek voor zakelijke e-mail accepteren met behulp van een beveiligingstoken ondertekend met de consumentensleutel (dit probleem is gecorrigeerd met behulp van de bijgewerkte bibliotheken).

Nadat het hackincident met e-mailaccounts van de overheid was ontdekt, blokkeerde Microsoft het gebruik van de MSA-sleutel en blokkeerde ook het gebruik van tokens die met de sleutel waren uitgegeven. In augustus kondigde de Cyber ​​Safety Review Board (CSRB) van de Amerikaanse regering aan dat het een eigen onderzoek naar het incident zou instellen . Het zal deel uitmaken van een algemeen onderzoek naar hackers die achter cloud computing-systemen en bedrijven in het algemeen aan gaan.