.
Lembra daquela chave de segurança interna supersecreta da Microsoft que a China roubou e usou para invadir contas de e-mail do governo dos EUA em julho?
A gigante do Windows descreveu hoje, em suas próprias palavras, como a equipe de espionagem chinesa que ela rastreia como Storm-0558 obteve aquela chave criptográfica dourada, que foi então usada para invadir Contas de webmail do Outlook do Tio Sam. Os bisbilhoteiros roubaram a chave do consumidor de um despejo de software que, como a Microsoft foi boa o suficiente para admitir, deveria ter sido editado e não ter incluído a chave digital em primeiro lugar.
A Microsoft publicou essas descobertas em um artigo intitulado “resultados das principais investigações técnicas para aquisição da chave Storm-0558” na quarta-feira, e a versão tl; dr é: erros foram cometidos, e Redmond nos garante que fez alterações para evitá-los. acontecendo novamente.
O titã da TI mantém segredos como suas chaves de consumidor – que em mãos erradas podem ser usadas para criar tokens de autenticação forjados e fazer login em contas Microsoft de outras pessoas – em uma rede de produção isolada, longe de sua rede corporativa diária. Como disse o negócio:
Seja como for, em abril de 2021, quando o software dentro daquele ambiente isolado que controlava a chave do consumidor quebrou, foi feito um instantâneo do programa. Descobriu-se que esse despejo de memória continha uma cópia dessa chave secreta.
“Uma condição de corrida permitiu que a chave estivesse presente no despejo de memória (esse problema foi corrigido)”, o Centro de Resposta de Segurança da Microsoft explicado em seu artigo detalhado.
“A presença do material chave no crash dump não foi detectada pelos nossos sistemas (este problema foi corrigido)”, acrescentou.
Idealmente, você não deseja coisas confidenciais, como chaves criptográficas secretas completas, em seus despejos de memória, e espera-se que esses instantâneos sejam editados automaticamente. Dito isso, você pode esperar que a chave permaneça em algo como um módulo de hardware dedicado e não seja usada na execução de software de produção, mas ei, o que nós, abutres, sabemos?
Se o dump tivesse permanecido dentro da rede de produção, não teria sido necessariamente o fim do mundo: se um intruso pudesse acessar o dump em prod, talvez pudesse acessar muitas outras coisas de qualquer maneira. No entanto, de acordo com o “processo de depuração padrão” da Microsoft, os trabalhadores moveram o despejo de memória da rede de produção isolada para um ambiente de depuração na rede corporativa conectada à Internet.
Mesmo após a mudança, os sistemas de verificação de credenciais não detectaram a chave (Redmond também diz que “este problema foi corrigido”) e enquanto a chave estava no despejo de memória na rede geral de TI, Storm-0558 comprometeu a conta corporativa de um engenheiro da Microsoft e passei a chave digital do instantâneo.
“Devido às políticas de retenção de logs, não temos logs com evidências específicas dessa exfiltração por esse ator, mas esse foi o mecanismo mais provável pelo qual o ator adquiriu a chave”, segundo Redmond.
Espere, uma chave de consumidor assinou tokens para e-mail corporativo?
Voltando à chave do consumidor usada para acessar o e-mail corporativo: a Microsoft explicou que isso remonta a setembro de 2018, quando começou a oferecer um endpoint de API convergente que os aplicativos poderiam usar para autenticar usuários, sejam esses usuários dentro de uma empresa ou consumidores individuais.
Na época, Redmond atualizou sua documentação e bibliotecas de software para que os desenvolvedores de aplicativos pudessem usar esse endpoint para fornecer uma interface de logon único. Crucialmente, a Microsoft não forneceu verificações automáticas suficientes nessas bibliotecas para garantir que, digamos, um usuário corporativo não seria validado usando uma chave de consumidor, outro problema que ela disse ter sido corrigido.
Quando os próprios engenheiros da Microsoft começaram a usar o endpoint em 2022 para seus produtos de sistema de e-mail, eles também não perceberam que essas verificações não estavam em vigor, disseram-nos.
“Assim, o sistema de correio aceitaria uma solicitação de e-mail corporativo usando um token de segurança assinado com a chave do consumidor (esse problema foi corrigido usando as bibliotecas atualizadas)”, afirmou o relatório postmortem.
Isso também parece validar pesquisas anteriores da Wiz, uma empresa de segurança da informação fundada por ex-engenheiros de segurança em nuvem da Microsoft.
Cerca de uma semana depois que os bisbilhoteiros de Pequim usaram a chave roubada para fazer login nas contas de e-mail na nuvem da Microsoft usadas por funcionários do governo dos EUA, incluindo a secretária de Comércio dos EUA, Gina Raimondo, e outros funcionários do Departamento de Estado e de Comércio, o chefe de pesquisa da Wiz, Shir Tamari, disse que chave mestra “era mais poderoso do que parecia” e poderia ter sido usado para violar mais do que apenas contas do Outlook e do Exchange Online.
“Nossos pesquisadores concluíram que a chave MSA comprometida poderia ter permitido que o agente da ameaça forjasse tokens de acesso para vários tipos de aplicativos do Azure Active Directory”, disse Tamari. escreveu em pesquisa publicada em 21 de julho.
Após as invasões, e com um pequeno empurrão na direção certa por parte do governo dos EUA, Redmond também concordou em fornecer a todos os clientes acesso livre aos logs de segurança da nuvem, mas não antes de setembro deste ano. ®
.
