.
Getty Imagens | Aurich Lawson
Na sexta-feira, a Microsoft tentou explicar a causa de uma violação que deu aos hackers que trabalhavam para o governo chinês acesso às contas de e-mail de 25 organizações – supostamente incluindo os Departamentos de Estado e Comércio dos EUA e outras organizações confidenciais.
Em um post na sexta-feira, a empresa indicou que o comprometimento resultou de três vulnerabilidades exploradas em seu serviço de e-mail Exchange Online ou no Azure Active Directory, um serviço de identidade que gerencia o logon único e a autenticação multifator para grandes organizações. A equipe de inteligência de ameaças da Microsoft disse que o Storm-0558, um grupo de hackers com sede na China que realiza espionagem em nome do governo daquele país, os explorou a partir de 15 de maio. intrusão.
Acima de tudo: evite a palavra com Z
Na linguagem padrão entre os profissionais de segurança, isso significa que Storm-0558 explorou dias zero nos serviços de nuvem da Microsoft. Um “dia zero” é uma vulnerabilidade que é conhecida ou explorada por pessoas de fora antes que o fornecedor tenha um patch para ela. “Explorar” significa usar código ou outros meios para acionar uma vulnerabilidade de forma a causar danos ao fornecedor ou a outros.
Embora ambas as condições sejam claramente atendidas na intrusão Storm-0558, a postagem de sexta-feira e outras duas que a Microsoft publicou na terça-feira, dobram para trás para evitar as palavras “vulnerabilidade” ou “dia zero”. Em vez disso, a empresa usa termos consideravelmente mais amorfos, como “problema”, “erro” e “falha” ao tentar explicar como os hackers do estado nacional rastrearam as contas de e-mail de alguns dos maiores clientes da empresa.
“A análise aprofundada da atividade do Exchange Online descobriu que, de fato, o ator estava falsificando tokens do Azure AD usando uma chave de assinatura do consumidor adquirida da conta da Microsoft (MSA)”, escreveram os pesquisadores da Microsoft na sexta-feira. “Isso foi possível devido a um erro de validação no código da Microsoft.”
Mais adiante no post, os pesquisadores disseram que Storm-0558 adquiriu uma chave de assinatura inativa usada para contas de nuvem do consumidor e de alguma forma conseguiu usá-la para forjar tokens para o Azure AD, um serviço de nuvem supostamente fortificado que, na verdade, armazena as chaves que milhares das organizações usam para gerenciar logins para contas em suas redes internas e baseadas em nuvem.
“O método pelo qual o ator adquiriu a chave é uma questão de investigação em andamento”, afirmou o post. “Embora a chave fosse destinada apenas para contas MSA, um problema de validação permitiu que essa chave fosse confiável para assinar tokens do Azure AD.”
Dois parágrafos depois, a Microsoft disse que Storm-0558 usou o token forjado para obter acesso a contas de e-mail do Exchange por meio de uma interface de programação para o Outlook Web Access (OWA). Os pesquisadores escreveram:
Depois de autenticado por meio de um fluxo de cliente legítimo aproveitando o token forjado, o agente da ameaça acessou a API do OWA para recuperar um token para o Exchange Online da API GetAccessTokenForResource usada pelo OWA. O ator conseguiu obter novos tokens de acesso apresentando um anteriormente emitido a partir desta API devido a uma falha de design. Essa falha no GetAccessTokenForResourceAPI foi corrigida para aceitar apenas tokens emitidos do Azure AD ou MSA, respectivamente. O ator usou esses tokens para recuperar mensagens de e-mail da API OWA.
Um resumo simples do evento parece ser: a Microsoft corrigiu três vulnerabilidades em seu serviço de nuvem que foram descobertas depois que Storm-0558 as explorou para obter acesso a contas de clientes. Também seria útil se a Microsoft fornecesse uma designação de rastreamento sob o sistema CVE (Common Vulnerabilities and Exposures) da mesma forma que outras empresas de nuvem fazem. Então, por que a Microsoft não faz o mesmo?
“Acho que a Microsoft nunca reconhece vulnerabilidades em seus serviços de nuvem (também não há CVEs para nuvem) e você não diz violação na Microsoft”, disse o pesquisador independente Kevin Beaumont no Mastodon. “Eles disseram ‘explorar’ no blog MSRC original em relação aos serviços em nuvem da Microsoft, e você explora uma vulnerabilidade. Então acho que é justo dizer que sim, eles tinham vuln(s).”
A Microsoft emitiu o seguinte comentário: “Não temos nenhuma evidência de que o ator explorou um dia 0.” A Microsoft não entrou em detalhes. Em uma das duas postagens publicadas na terça-feira, a Microsoft disse: “O ator explorou um problema de validação de token para representar os usuários do Azure AD e obter acesso ao correio corporativo”. Ars pediu esclarecimentos sobre exatamente o que foi explorado pelo agente da ameaça.
Segurança de pagamento
Além de ser opaca sobre a causa raiz da violação e seu próprio papel nela, a Microsoft está sendo criticada por reter detalhes que algumas das vítimas poderiam ter usado para detectar a invasão, algo que os críticos chamam de “segurança paga para jogar”. De acordo com a US Cybersecurity and Information Security Agency, uma agência federal que foi violada pela Storm-0558, descobriu a invasão por meio de logs de auditoria que rastreiam logins e outros eventos importantes que afetam os eventos de nuvem da Microsoft dos clientes.
A Microsoft, no entanto, exige que os clientes paguem uma taxa adicional para acessar esses registros. O custo de uma licença corporativa “E5” que permite esse acesso é de US$ 57 por mês por usuário, em comparação com o custo de uma licença E3 de US$ 36 por mês por cliente.
“O fato de que a Microsoft só permite que aqueles que pagam o dinheiro extra pelo licenciamento E5 vejam os arquivos de log relevantes é, bem, algo…” Will Dorman, analista principal sênior da Analygence, disse em uma entrevista. “Se você não é um cliente que paga E5, perde a capacidade de ver que foi comprometido.”
Embora as divulgações da Microsoft tenham sido pouco divulgadas no papel que suas vulnerabilidades desempenharam na violação das contas das organizações, a divulgação de sexta-feira fornece indicadores úteis que as pessoas podem usar para determinar se foram alvo ou comprometidos pela Storm-0558.
.
