.
Uma chave de segurança roubada da Microsoft pode ter permitido que espiões apoiados por Pequim invadissem muito mais do que apenas contas de e-mail do Outlook e do Exchange Online.
Por incrível que pareça, e realmente merece uma cobertura mais ampla, alguém de alguma forma obteve uma das chaves criptográficas privadas internas da Microsoft usadas para assinar digitalmente tokens de acesso para seus serviços online. Com essa chave, os bisbilhoteiros foram capazes de criar tokens para conceder-lhes acesso aos sistemas de e-mail dos clientes da Microsoft e, crucialmente, assinar esses tokens de acesso como o gigante do Windows para parecer que foram emitidos legitimamente.
Com essas fichas douradas em mãos, os bisbilhoteiros – que se acredita estarem baseados na China – conseguiram logar em Contas de e-mail em nuvem da Microsoft usadas por funcionários do governo dos EUA, incluindo a secretária de comércio dos EUA, Gina Raimondo. A invasão cibernética foi detectada por uma agência do governo federal, que deu o alarme.
A Microsoft ainda, pelo que sabemos, não sabe (ou não está dizendo publicamente ainda) como essa chave de assinatura privada incrivelmente poderosa foi obtida e revogou essa chave.
Aqui estão alguns links rápidos
- da Microsoft análise da espionagem envolvendo estes, segundo ele, tokens de acesso forjados assinados por sua chave MSA. A Microsoft apelidou os espiões de Storm-0558.
- Governo dos Estados Unidos se inclina sobre Redmond para disponibilizar logs de segurança na nuvem gratuitamente após esse fiasco.
Agora acontece que a chave privada “era mais poderosa do que parecia”, de acordo com Shir Tamari, chefe de pesquisa da Wiz, uma empresa de infosec fundada por ex-engenheiros de segurança em nuvem da Microsoft.
Fomos informados de que a chave privada poderia ter sido usada para acessar muito mais do que as contas do Outlook e do Exchange Online das pessoas. A Microsoft recuou nessa afirmação.
“Nossos pesquisadores concluíram que a chave MSA comprometida poderia ter permitido que o agente da ameaça forjasse tokens de acesso para vários tipos de aplicativos do Azure Active Directory”, Tamari explicado na sexta.
Isso inclui aplicativos da Microsoft que usam tokens de acesso OpenID v2.0 para autenticação de contas, como Outlook, SharePoint, OneDrive e Teams.
Além disso, de acordo com Wiz, ele abrange os próprios aplicativos dos clientes que suportam a funcionalidade “login com a Microsoft”, além de aplicativos multilocatários configurados para usar o “comum“endpoint de chaves v2.0 em vez de “organizações”. Os aplicativos que usam OpenID v1.0 permanecem seguros.
Ainda assim, enquanto a Microsoft revogou a chave de criptografia comprometida e publicou uma lista de indicadores de comprometimento para aqueles que se perguntam se também foram atingidos pela Storm-0558, os garotos do Wiz disseram que pode ser difícil para os clientes de Redmond saber se criminosos usaram tokens forjados para roubar dados de seus aplicativos. Tamari culpou a falta de logs relacionados à verificação de tokens.
E acontece que Redmond na quarta-feira cedeu à pressão do governo americano concordou em fornecer a todos os clientes acesso livre aos logs de segurança na nuvem – um serviço geralmente reservado para clientes premium – mas não até setembro.
Quando questionado sobre as conclusões de Wiz – e se mais do que apenas contas de e-mail poderiam ter sido acessadas no ataque – um porta-voz da Microsoft disse Strong The One:
Microsoft divulgado o atentado de 11 de julho. Na época, e de forma Atualização de 14 de julhoo titã do Azure disse que os espiões usaram tokens de autenticação forjados para acessar contas de e-mail de agências governamentais para fins de espionagem.
De acordo com um relatório de quinta-feira no Wall Street Journal, bisbilhoteiros chineses também caixas de entrada acessadas pertencente ao embaixador dos Estados Unidos na China, Nicholas Burns, e Daniel Kritenbrink, secretário de Estado adjunto para o Leste Asiático.
Ainda não está claro como os espiões obtiveram a chave de criptografia privada em primeiro lugar.
De acordo com a equipe de segurança do Wiz, a equipe baseada na China parece ter obtido um dos várias chaves usado para verificar os tokens de acesso do Azure Active Directory (AAD), permitindo que eles assinem como Microsoft qualquer token de acesso OpenID v2.0 para contas pessoais junto com aplicativos AAD multilocatários e de conta pessoal.
Embora a Microsoft tenha retirado a chave comprometida, o que significa que ela não pode mais ser usada para forjar tokens e acessar aplicativos AAD, há uma chance de que, durante as sessões estabelecidas anteriormente, os invasores possam ter usado esse acesso para implantar backdoors ou estabelecer persistência.
“Um exemplo notável disso é como, antes da mitigação da Microsoft, Storm-0558 emitiu tokens de acesso válidos do Exchange Online forjando tokens de acesso para o Outlook Web Access (OWA)”, escreveu Tamari.
Além disso, os aplicativos que usam armazenamentos de certificados locais ou chaves em cache ainda podem confiar na chave comprometida e, portanto, ficar vulneráveis a ataques. Por causa disso, tanto Wiz quanto a Microsoft recomendam atualizar esses silos pelo menos uma vez por dia. ®
.
