Microsoft oferece mais informações sobre como hackers chineses tiveram acesso a contas de e-mail do governo

Na semana passada, a Microsoft informou que um grupo de hackers chineses obteve acesso a contas de e-mail do governo nos EUA e na Europa . Especificamente, o grupo de hackers inseriu contas de e-mail que estavam usando o Outlook Web Access da Microsoft no Exchange Online e também no Outlook.com.

Em uma postagem de blog de acompanhamento , a Microsoft ofereceu mais alguns detalhes sobre como esse grupo, conhecido como Storm-0558, conseguiu obter acesso a essas contas usando o sistema online da empresa. A Microsoft declarou:

Storm-0558 adquiriu uma chave de assinatura de consumidor MSA inativa e a usou para forjar tokens de autenticação para empresas do Azure AD e consumidores MSA para acessar OWA e Outlook.com. Todas as chaves MSA ativas antes do incidente – incluindo a chave de assinatura MSA adquirida pelo agente – foram invalidadas. As chaves do Azure AD não foram afetadas. O método pelo qual o ator adquiriu a chave é uma questão de investigação em andamento. Embora a chave fosse destinada apenas a contas MSA, um problema de validação permitia que essa chave fosse confiável para assinar tokens do Azure AD. Este problema foi corrigido.

O blog também explica como o grupo de hackers usou essa chave de assinatura para obter acesso à versão web do Outlook:

Depois de autenticado por meio de um fluxo de cliente legítimo aproveitando o token forjado, o agente da ameaça acessou a API do OWA para recuperar um token para o Exchange Online da API GetAccessTokenForResource usada pelo OWA. O ator conseguiu obter novos tokens de acesso apresentando um anteriormente emitido a partir desta API devido a uma falha de design. Essa falha no GetAccessTokenForResourceAPI foi corrigida para aceitar apenas tokens emitidos do Azure AD ou MSA, respectivamente. O ator usou esses tokens para recuperar mensagens de e-mail da API OWA.

Como parte de seus esforços para corrigir esse problema, a Microsoft fez algumas alterações em seus procedimentos:

Isso inclui maior isolamento dos sistemas, monitoramento refinado da atividade do sistema e mudança para o armazenamento de chaves reforçado usado para nossos sistemas corporativos. Revogamos todas as chaves ativas anteriormente e emitimos novas chaves usando esses sistemas atualizados. Nossa investigação ativa indica que essas melhorias de proteção e isolamento interrompem os mecanismos que acreditamos que o ator poderia ter usado para adquirir chaves de assinatura MSA.

A Microsoft diz que nenhuma ação é necessária de seus clientes da Web do Outlook, pois afirma que “todas as atividades de atores relacionadas a este incidente foram bloqueadas”.