Microsoft wyjaśnia, w jaki sposób chińska grupa hakerów uzyskała dostęp do rządowych kont e-mail

W lipcu Microsoft ujawnił, że znana chińska grupa hakerów oznaczona jako Storm-0558 uzyskała dostęp do rządowych kont e-mail w Stanach Zjednoczonych i Europie Zachodniej. Firma stwierdziła, że ​​grupa „użyła zdobytego klucza MSA do sfałszowania tokenów umożliwiających dostęp do OWA i Outlook.com”. Dodała: „Aktor wykorzystał problem z walidacją tokena, aby podszywać się pod użytkowników usługi Azure AD i uzyskać dostęp do poczty korporacyjnej”.

Firma Microsoft wszczęła dochodzenie w sprawie zdobycia klucza MSA (konta Microsoft) i sposobu, w jaki klucz konsumencki mógł uzyskać dostęp do firmowych kont e-mail programu Outlook. W tym tygodniu firma opublikowała swoje ustalenia na swojej stronie internetowej Microsoft Security Response Center .

Microsoft twierdzi, że wydarzenie, które miało miejsce ponad dwa lata temu, było przyczyną uzyskania przez grupę dostępu do klucza MSA:’

Nasze dochodzenie wykazało, że awaria systemu podpisywania przez klienta w kwietniu 2021 r. spowodowała utworzenie migawki procesu, który uległ awarii („zrzut awaryjny”). Zrzuty awaryjne, które usuwają poufne informacje, nie powinny zawierać klucza podpisu. W tym przypadku sytuacja wyścigu pozwoliła na obecność klucza w zrzucie awaryjnym (ten problem został rozwiązany). Nasze systemy nie wykryły obecności kluczowego materiału na zrzucie awaryjnym.

Microsoft dodał, że dane zrzutu awaryjnego zostały następnie przeniesione z „przeniesionego z izolowanej sieci produkcyjnej do naszego środowiska debugowania w sieci korporacyjnej połączonej z Internetem”, co było standardową procedurą. Jednak skanowanie danych zrzutu awaryjnego nie wykazało klucza MSA. Microsoft twierdzi, że ten problem również został naprawiony.

Firma uważa, że ​​Storm-0558 był w stanie uzyskać klucz MSA z danych zrzutu awaryjnego, włamując się na konto firmowe od jednego z inżynierów Microsoftu. Nie ma na to bezpośrednich dowodów wskazujących na włamanie na konkretne konto, ale Microsoft uważa, że ​​„był to najbardziej prawdopodobny mechanizm, dzięki któremu aktor zdobył klucz”.

Wreszcie firma wierzy, że Storm-0558 był w stanie zduplikować klucz MSA i przekształcić go w taki, który był używany do uzyskiwania dostępu do firmowych kont e-mail z powodu błędu podczas aktualizacji interfejsu API:

W ramach istniejącej biblioteki dokumentacji i pomocniczych interfejsów API firma Microsoft udostępniła interfejs API ułatwiający kryptograficzne sprawdzanie poprawności podpisów, ale nie zaktualizowała tych bibliotek w celu automatycznego sprawdzania tego zakresu (ten problem został rozwiązany). Systemy pocztowe zostały zaktualizowane tak, aby korzystały ze wspólnego punktu końcowego metadanych w 2022 r. Programiści systemu pocztowego błędnie założyli, że biblioteki przeprowadziły pełną weryfikację i nie dodały wymaganej walidacji wystawcy/zakresu. W ten sposób system pocztowy zaakceptowałby żądanie poczty korporacyjnej przy użyciu tokena zabezpieczającego podpisanego kluczem konsumenta (ten problem został rozwiązany za pomocą zaktualizowanych bibliotek).

Po wykryciu incydentu włamania na rządowe konta e-mail firma Microsoft zablokowała użycie klucza MSA, a także zablokowała użycie tokenów wydanych z kluczem. W sierpniu Komisja ds. Przeglądu Bezpieczeństwa Cybernetycznego (CSRB) rządu USA ogłosiła, że ​​przeprowadzi własne dochodzenie w sprawie tego incydentu . Będzie to część ogólnego badania hakerów atakujących systemy przetwarzania w chmurze i ogólnie firmy.