Microsoft oferuje więcej informacji o tym, jak chińscy hakerzy uzyskali dostęp do rządowych kont e-mail

W zeszłym tygodniu Microsoft poinformował, że grupa chińskich hakerów uzyskała dostęp do rządowych kont e-mail w USA i Europie . W szczególności grupa hakerów włamała się na konta e-mail, które korzystały z programu Outlook Web Access firmy Microsoft w usłudze Exchange Online, a także w usłudze Outlook.com.

W kolejnym poście na blogu firma Microsoft podała więcej szczegółów na temat tego, w jaki sposób grupie, znanej jako Storm-0558, udało się uzyskać dostęp do tych kont za pomocą firmowego systemu internetowego. Microsoft stwierdził:

Storm-0558 uzyskał nieaktywny klucz podpisywania klienta MSA i użył go do sfałszowania tokenów uwierzytelniania dla przedsiębiorstwa Azure AD i klienta MSA w celu uzyskania dostępu do OWA i Outlook.com. Wszystkie klucze MSA aktywne przed incydentem — w tym klucz podpisywania MSA nabyty przez aktora — zostały unieważnione. Nie miało to wpływu na klucze usługi Azure AD. Sposób, w jaki aktor zdobył klucz, jest przedmiotem toczącego się śledztwa. Chociaż klucz był przeznaczony tylko dla kont MSA, problem z weryfikacją umożliwił zaufanie temu kluczowi do podpisywania tokenów usługi Azure AD. Ten problem został rozwiązany.

Blog wyjaśnia również, w jaki sposób grupa hakerów użyła tego klucza podpisu, aby uzyskać dostęp do internetowej wersji programu Outlook:

Po uwierzytelnieniu za pośrednictwem legalnego przepływu klienta z wykorzystaniem sfałszowanego tokena, cyberprzestępca uzyskał dostęp do interfejsu API OWA, aby pobrać token dla usługi Exchange Online z interfejsu API GetAccessTokenForResource używanego przez OWA. Aktor był w stanie uzyskać nowe tokeny dostępu, przedstawiając jeden wydany wcześniej z tego API z powodu błędu projektowego. Ta luka w GetAccessTokenForResourceAPI została już naprawiona, aby akceptować tylko tokeny wystawione odpowiednio z usługi Azure AD lub MSA. Aktor użył tych tokenów do pobrania wiadomości e-mail z interfejsu API programu OWA.

W ramach wysiłków zmierzających do rozwiązania tego problemu firma Microsoft wprowadziła pewne zmiany w swoich procedurach:

Obejmuje to zwiększoną izolację systemów, udoskonalone monitorowanie aktywności systemu i przejście do magazynu kluczy ze wzmocnionymi zabezpieczeniami używanego w naszych systemach korporacyjnych. Unieważniliśmy wszystkie wcześniej aktywne klucze i wydaliśmy nowe klucze przy użyciu tych zaktualizowanych systemów. Nasze aktywne dochodzenie wskazuje, że te ulepszenia wzmacniające i izolujące zakłócają mechanizmy, które naszym zdaniem aktor mógł wykorzystać do zdobycia kluczy podpisujących MSA.

Microsoft twierdzi, że nie jest potrzebne żadne działanie ze strony klientów sieci Outlook, ponieważ twierdzi, że „cała aktywność aktorów związana z tym incydentem została zablokowana”. Dodał, że będzie „nadal monitorować aktywność Storm-0558 i wdrażać zabezpieczenia dla naszych klientów.