.
Mas exatamente como uma chave tão sensível, permitindo um acesso tão amplo, pode ser roubada em primeiro lugar, permanece desconhecido. A Strong The One entrou em contato com a Microsoft, mas a empresa se recusou a comentar mais.
Na ausência de mais detalhes da Microsoft, uma teoria de como ocorreu o roubo é que a chave de assinatura do token não foi de fato roubada da Microsoft, de acordo com Tal Skverer, que lidera a pesquisa no Astrix de segurança, que anteriormente ano descobriu um problema de segurança de token na nuvem do Google. Em configurações mais antigas do Outlook, o serviço é hospedado e gerenciado em um servidor de propriedade do cliente, e não na nuvem da Microsoft. Isso pode ter permitido que os hackers roubassem a chave de uma dessas configurações “no local” na rede de um cliente.
Então, sugere Skverer, os hackers podem ter conseguido explorar o bug que permitia que a chave assinasse tokens corporativos para obter acesso a uma instância de nuvem do Outlook compartilhada por todas as 25 organizações atingidas pelo ataque. “Meu melhor palpite é que eles começaram a partir de um único servidor que pertencia a uma dessas organizações”, diz Skverer, “e deram o salto para a nuvem abusando desse erro de validação e, em seguida, obtiveram acesso a mais organizações que estão compartilhando o mesma instância do Outlook na nuvem.”
Mas essa teoria não explica por que um servidor local para um serviço da Microsoft dentro de uma rede corporativa usaria uma chave que a Microsoft descreve como destinada à assinatura de tokens de conta de consumidor. Também não explica por que tantas organizações, incluindo agências governamentais dos EUA, estariam compartilhando uma instância de nuvem do Outlook.
Outra teoria, e muito mais preocupante, é que a chave de assinatura de token usada pelos hackers foi roubada da própria rede da Microsoft, obtida enganando a empresa para que emitisse uma nova chave para os hackers, ou mesmo reproduzida de alguma forma explorando erros em o processo criptográfico que o criou. Em combinação com o bug de validação de token que a Microsoft descreve, isso pode significar que ele pode ter sido usado para assinar tokens para qualquer conta de nuvem do Outlook, consumidor ou empresa – uma chave mestra para uma grande faixa, ou mesmo toda, da nuvem da Microsoft.
O conhecido pesquisador de segurança da web Robert “RSnake” Hansen diz que leu a linha no post da Microsoft sobre como melhorar a segurança dos “sistemas de gerenciamento de chaves” para sugerir que a “autoridade certificadora” da Microsoft – seu próprio sistema para gerar as chaves para assinar criptograficamente tokens – foi de alguma forma hackeado pelos espiões chineses. “É muito provável que tenha havido uma falha na infraestrutura ou na configuração da autoridade de certificação da Microsoft que fez com que um certificado existente fosse comprometido ou um novo certificado fosse criado”, diz Hansen.
Se os hackers realmente roubassem uma chave de assinatura que poderia ser usada para falsificar tokens amplamente em contas de consumidores – e, graças ao problema de validação de token da Microsoft, também em contas corporativas – o número de vítimas poderia ser muito maior do que 25 organizações que a Microsoft possui. contabilizados publicamente, adverte Williams.
Para identificar vítimas corporativas, a Microsoft poderia procurar quais de seus tokens foram assinados com uma chave de nível de consumidor. Mas essa chave também pode ter sido usada para gerar tokens de nível de consumidor, o que pode ser muito mais difícil de detectar, pois os tokens podem ter sido assinados com a chave esperada. “Do lado do consumidor, como você saberia?” Williams pergunta. “A Microsoft não discutiu isso e acho que devemos esperar muito mais transparência.”
A mais recente revelação de espionagem chinesa da Microsoft não é a primeira vez que hackers patrocinados pelo estado exploram tokens para violar alvos ou espalhar seu acesso. Os hackers russos que realizaram o notório ataque à cadeia de suprimentos Solar Winds também roubaram tokens do Microsoft Outlook das máquinas das vítimas que poderiam ser usados em outras partes da rede para manter e expandir seu alcance em sistemas confidenciais.
Para os administradores de TI, esses incidentes – e particularmente este último – sugerem algumas das compensações do mundo real da migração para a nuvem. A Microsoft e a maior parte da indústria de segurança cibernética recomendam há anos a mudança para sistemas baseados em nuvem para colocar a segurança nas mãos de gigantes da tecnologia, em vez de empresas menores. Mas os sistemas centralizados podem ter suas próprias vulnerabilidades – com consequências potencialmente massivas.
“Você está entregando as chaves do reino para a Microsoft”, diz Williams. “Se sua organização não está confortável com isso agora, você não tem boas opções.”
.
