Microsoft biedt meer informatie over hoe Chinese hackers toegang hebben gekregen tot e-mailaccounts van de overheid

Vorige week meldde Microsoft dat een groep Chinese hackers toegang heeft gekregen tot e-mailaccounts van de overheid in de VS en Europa . Met name de hackergroep voerde e-mailaccounts in die Outlook Web Access van Microsoft gebruikten in Exchange Online en ook op Outlook.com.

In een vervolgblogpost bood Microsoft wat meer details over hoe deze groep, bekend als Storm-0558, erin slaagde toegang te krijgen tot deze accounts met behulp van het online systeem van het bedrijf. Microsoft verklaarde:

Storm-0558 verwierf een inactieve MSA-ondertekeningssleutel voor consumenten en gebruikte deze om authenticatietokens te vervalsen voor Azure AD-ondernemingen en MSA-consumenten om toegang te krijgen tot OWA en Outlook.com. Alle MSA-sleutels die voorafgaand aan het incident actief waren – inclusief de door een actor verkregen MSA-ondertekeningssleutel – zijn ongeldig gemaakt. Azure AD-sleutels werden niet beïnvloed. De manier waarop de acteur de sleutel heeft verkregen, is onderwerp van lopend onderzoek. Hoewel de sleutel alleen bedoeld was voor MSA-accounts, kon deze sleutel door een validatieprobleem worden vertrouwd voor het ondertekenen van Azure AD-tokens. Dit probleem is verholpen.

In de blog wordt ook uitgelegd hoe de hackergroep deze ondertekeningssleutel gebruikte om toegang te krijgen tot de webversie van Outlook:

Eenmaal geverifieerd via een legitieme clientstroom die gebruikmaakt van het vervalste token, heeft de bedreigingsactor toegang gekregen tot de OWA API om een ​​token voor Exchange Online op te halen uit de GetAccessTokenForResource API die door OWA wordt gebruikt. Vanwege een ontwerpfout kon de acteur nieuwe toegangstokens verkrijgen door er een te presenteren die eerder door deze API was uitgegeven. Deze fout in de GetAccessTokenForResourceAPI is sindsdien verholpen om alleen tokens te accepteren die zijn uitgegeven door respectievelijk Azure AD of MSA. De actor gebruikte deze tokens om mailberichten op te halen uit de OWA API.

Als onderdeel van de inspanningen om dit probleem op te lossen, heeft Microsoft enkele wijzigingen aangebracht in de procedures:

Dit omvat een verhoogde isolatie van de systemen, verfijnde monitoring van systeemactiviteit en de overstap naar de beveiligde sleutelopslag die wordt gebruikt voor onze bedrijfssystemen. We hebben alle eerder actieve sleutels ingetrokken en nieuwe sleutels uitgegeven met behulp van deze bijgewerkte systemen. Ons actieve onderzoek geeft aan dat deze verhardings- en isolatieverbeteringen de mechanismen verstoren waarvan we denken dat de actor deze had kunnen gebruiken om MSA-ondertekeningssleutels te verkrijgen.

Microsoft zegt dat er geen actie nodig is van zijn Outlook-webklanten omdat het beweert dat “alle activiteit van actoren met betrekking tot dit incident is geblokkeerd”.