Microsoft explica como um grupo de hackers chinês conseguiu acessar contas de e-mail do governo

Em julho, a Microsoft revelou que um conhecido grupo de hackers chineses denominado Storm-0558 conseguiu acessar contas de e-mail governamentais nos Estados Unidos e na Europa Ocidental. A empresa disse que o grupo “usou uma chave MSA adquirida para falsificar tokens para acessar o OWA e o Outlook.com”. Acrescentou: “O ator explorou um problema de validação de token para se passar por usuários do Azure AD e obter acesso ao correio corporativo”.

A Microsoft lançou uma investigação sobre como a chave MSA (Conta Microsoft) foi adquirida e como uma chave de consumidor conseguiu acessar contas de e-mail corporativas do Outlook. Esta semana, a empresa publicou suas descobertas no site do Microsoft Security Responses Center .

A Microsoft diz que um evento ocorrido há mais de dois anos foi a causa do grupo obter acesso à chave MSA:’

Nossa investigação descobriu que uma falha no sistema de assinatura do consumidor em abril de 2021 resultou em um instantâneo do processo travado (“crash dump”). Os despejos de memória, que editam informações confidenciais, não devem incluir a chave de assinatura. Nesse caso, uma condição de corrida permitiu que a chave estivesse presente no crash dump (esse problema foi corrigido). A presença do material chave no crash dump não foi detectada pelos nossos sistemas.

A Microsoft acrescentou que os dados de despejo de memória foram então movidos de “movidos da rede de produção isolada para nosso ambiente de depuração na rede corporativa conectada à Internet”, que era o procedimento padrão. No entanto, uma verificação dos dados de despejo de memória não detectou a chave MSA. A Microsoft diz que isso também foi corrigido.

A empresa acredita que o Storm-0558 conseguiu obter a chave MSA dos dados de crash dump ao comprometer uma conta corporativa de um dos engenheiros da Microsoft. Não há nenhuma evidência direta disso que aponte para o comprometimento de uma conta específica, mas a Microsoft acredita que “este foi o mecanismo mais provável pelo qual o ator adquiriu a chave”.

Por fim, a empresa acredita que o Storm-0558 foi capaz de duplicar a chave MSA e transformá-la em uma que foi usada para acessar contas de email corporativas devido a um erro na atualização de uma API:

Como parte de uma biblioteca pré-existente de documentação e APIs auxiliares, a Microsoft forneceu uma API para ajudar a validar as assinaturas criptograficamente, mas não atualizou essas bibliotecas para executar essa validação de escopo automaticamente (esse problema foi corrigido). Os sistemas de correio foram atualizados para usar o endpoint de metadados comum em 2022. Os desenvolvedores no sistema de correio assumiram incorretamente que as bibliotecas realizaram a validação completa e não adicionaram a validação de emissor/escopo necessária. Assim, o sistema de correio aceitaria uma solicitação de email corporativo usando um token de segurança assinado com a chave do consumidor (esse problema foi corrigido usando as bibliotecas atualizadas).

Depois que o incidente de hacking com contas de e-mail do governo foi descoberto, a Microsoft bloqueou o uso da chave MSA e também bloqueou o uso de tokens emitidos com a chave. Em agosto, o Conselho de Revisão de Segurança Cibernética (CSRB) do governo dos EUA anunciou que conduziria sua própria investigação sobre o incidente . Será parte de um exame geral dos hackers que perseguem sistemas de computação em nuvem e empresas em geral.