Microsoft spiega come un gruppo di hacker cinesi è riuscito ad accedere agli account di posta elettronica governativi

A luglio, Microsoft ha rivelato che un noto gruppo di hacker cinese etichettato come Storm-0558 era in grado di accedere agli account di posta elettronica governativi negli Stati Uniti e in Europa occidentale. La società ha affermato che il gruppo “ha utilizzato una chiave MSA acquisita per falsificare token per accedere a OWA e Outlook.com”. Ha aggiunto: “L’attore ha sfruttato un problema di convalida dei token per impersonare gli utenti di Azure AD e ottenere l’accesso alla posta aziendale”.

Microsoft ha avviato un’indagine su come è stata acquisita la chiave MSA (Microsoft Account) e su come una chiave consumer è stata in grado di accedere agli account di posta elettronica Outlook aziendali. Questa settimana, l’azienda ha pubblicato i suoi risultati sul sito Web Microsoft Security Responses Center .

Microsoft afferma che un evento accaduto più di due anni fa è stato la causa dell’accesso del gruppo alla chiave MSA:’

La nostra indagine ha rilevato che un arresto anomalo del sistema di firma del consumatore nell’aprile del 2021 ha prodotto un’istantanea del processo bloccato (“crash dump”). I crash dump, che oscurano informazioni sensibili, non dovrebbero includere la chiave di firma. In questo caso, una condizione di competizione ha permesso alla chiave di essere presente nel crash dump (questo problema è stato corretto). La presenza del materiale chiave nel crash dump non è stata rilevata dai nostri sistemi.

Microsoft ha aggiunto che i dati del crash dump sono stati poi spostati da “spostati dalla rete di produzione isolata al nostro ambiente di debug sulla rete aziendale connessa a Internet”, che era la procedura standard. Tuttavia, una scansione dei dati del dump del crash non ha rilevato la chiave MSA. Microsoft dice che anche questo è stato risolto.

L’azienda ritiene che Storm-0558 sia riuscito a ottenere la chiave MSA dai dati del crash dump compromettendo un account aziendale di uno degli ingegneri di Microsoft. Non esiste alcuna prova diretta che indichi che un account specifico sia stato compromesso, ma Microsoft ritiene che “questo sia stato il meccanismo più probabile attraverso il quale l’attore ha acquisito la chiave”.

Infine, la società ritiene che Storm-0558 sia stato in grado di duplicare la chiave MSA e trasformarla in una utilizzata per accedere agli account di posta elettronica aziendali a causa di un errore nell’aggiornamento di un’API:

Come parte di una libreria preesistente di documentazione e API di supporto, Microsoft ha fornito un’API per facilitare la convalida crittografica delle firme, ma non ha aggiornato queste librerie per eseguire automaticamente la convalida dell’ambito (questo problema è stato corretto). I sistemi di posta sono stati aggiornati per utilizzare l’endpoint comune dei metadati nel 2022. Gli sviluppatori del sistema di posta presumevano erroneamente che le librerie eseguissero una convalida completa e non aggiungessero la convalida dell’emittente/ambito richiesta. Pertanto, il sistema di posta accetterebbe una richiesta di posta elettronica aziendale utilizzando un token di sicurezza firmato con la chiave del consumatore (questo problema è stato corretto utilizzando le librerie aggiornate).

Dopo che è stato scoperto l’incidente di hacking con account di posta elettronica governativi, Microsoft ha bloccato l’uso della chiave MSA e ha anche bloccato l’utilizzo dei token emessi con la chiave. Ad agosto, il Cyber ​​Safety Review Board (CSRB) del governo statunitense ha annunciato che avrebbe condotto una propria indagine sull’incidente . Farà parte di un’analisi globale sugli hacker che attaccano i sistemi di cloud computing e le aziende in generale.