Departamentul pentru Siguranță Cibernetică al Departamentului de Securitate Internă al SUA a publicat un raport dur referitor la modul în care Microsoft a gestionat atacul său online Exchange din 2023, avertizând că compania trebuie să facă mai mult pentru securizarea datelor și să fie mai sinceră în ceea ce privește modul în care actorii de amenințare au furat o cheie de semnare Azure.
Microsoft crede că atacul online Exchange din luna mai a anului trecut este legat de un actor de amenințare cunoscut sub numele de ‘Storm-0558’ care a furat o cheie de semnare Azure de pe laptopul unui inginer care fusese compromis anterior de hackeri la o companie achiziționată.
Storm-0558 este un actor de spionaj cibernetic afiliat Chinei care a fost activ de peste două decenii, vizând o gamă largă de organizații.
Aproape 10 luni de la începerea investigației, CSRB afirmă că nu există dovezi definitive cu privire la modul în care actorul de amenințare a obținut cheia de semnare, indiferent de ceea ce a pretins anterior Microsoft.
CSRB și-a desfășurat analiza atacului online Exchange din 2023 realizat de Microsoft pe baza detaliilor obținute de la organizațiile afectate, companii de securitate cibernetică și experți, agenții de aplicare a legii și întâlnirilor cu reprezentanți ai Microsoft.
Raportul menționează că Microsoft a aflat de intruziune după ce a fost alertată de Departamentul de Stat al SUA la 16 iunie 2023.
Primele semne ale intruziunii în sistemele de e-mail ale Departamentului de Stat au apărut cu o zi înainte, când centrul său de operațiuni de securitate (SOC) a observat un acces anormal.
Mai multe alerte de securitate au apărut a doua zi, datorită unei reguli personalizate, denumită intern ‘Big Yellow Taxi’, pentru analizarea jurnalului MailItemsAccessed disponibil prin serviciul Audit (Premium) pentru reținerea extinsă a înregistrărilor.
Una dintre capabilitățile acțiunii de auditare a cutiei poștale MailItemsAccessed este de a urmări și înregistra accesul la mesajele individuale (operația de legare).
Crearea regulii ‘Big Yellow Taxi’ a fost posibilă deoarece Departamentul de Stat al SUA a achiziționat o licență Microsoft 365 Government G5 care vine cu o înregistrare îmbunătățită prin nivelul premium al serviciului Purview Audit al Microsoft.
Cu toate acestea, alte organizații compromise nu au reușit să detecteze că conturile lor au fost compromise, deoarece nu achiziționaseră caracteristicile de jurnalizare premium.
Aceasta a determinat Microsoft să colaboreze cu CISA pentru a oferi caracteristici critice de jurnalizare gratuit, astfel încât toți clienții să poată detecta atacuri similare.
În februarie, Microsoft a decis să extindă perioada implicită de retenție a jurnalului de la 90 la 180 de zile pentru toți clienții standard Purview Audit și să ofere date de telemetrie suplimentare agențiilor federale.
Începând cu mijlocul lunii mai 2023, conturile de e-mail ale peste 500 de persoane de la 22 de organizații au fost compromise într-o campanie de spionaj cibernetic realizată de grupul de hackeri chinezi Storm-0558.
Hackerii au accesat conturile de e-mail folosind token-uri de autentificare falsificate semnate cu o cheie de consum Microsoft Services Account (MSA) creată în 2016 și care ar fi trebuit revocată în martie 2021.
Motivul pentru care cheia era încă valabilă în 2021 este că rotația cheilor a fost făcută manual pentru sistemul de consum la momentul respectiv, spre deosebire de procesul automatizat pentru întreprinderi.
După o mare întrerupere a serviciului de cloud din cauza rotației manuale, Microsoft a oprit complet procesul în 2021, lăsând fără sistem pentru a alerta angajații cu privire la vechile chei de semnare active în serviciul MSA de consum care ar trebui retrase.
Deși cheia MSA din 2016 a fost concepută pentru a semna token-uri de acces doar pentru conturile de consum, o vulnerabilitate necunoscută anterior a permis lui Storm-0558 să o folosească și cu e-mailurile corporative.
Într-o întâlnire cu CSRB, Microsoft a explicat că problema a fost introdusă odată cu crearea unui serviciu de endpoint OpenID Connect (OIDC) care enumera cheile de semnare active pentru sistemele de identitate de consum și întreprinderi.
Cu toate acestea, kit-urile de dezvoltare software (SDK-uri) nu au fost actualizate corect pentru a face distincție pe endpoint între cheile de semnare MSA pentru consumatori și întreprinderi.
Aceasta a permis autentificarea aplicației de e-mail prin sistemul Microsoft Entra de identitate și gestionare a accesului (IAM) folosind oricare dintre tipurile de chei.
Este neclar cum actorul de amenințare a descoperit că poate profita de problema pentru a falsifica token-uri care funcționau atât pentru conturile de consum, cât și pentru cele de întreprindere, dar Microsoft speculează că au aflat de capabilitate prin încercare și eroare.
În timp ce Microsoft a afirmat în septembrie că actorul de amenințare a obținut probabil cheia MSA din dump-uri de crash, compania a actualizat postarea inițială pe blog trei luni mai târziu, la 12 martie 2024, pentru a clarifica că era doar o teorie și nu a găsit nicio dovadă care să o susțină.
În timpul investigației incidentului, Microsoft a urmărit acest scenariu, care face parte dintr-un total de 46 care includeau un adversar cu capacități de calcul cuantic care ar putea sparge criptografia cu cheie publică.
Teoria pe care Microsoft a împărtășit-o cu CSRB este că atacul online Exchange din 2023 este legat de un alt incident din 2021 în care același actor de amenințare a compromis rețeaua corporativă printr-un cont de inginer care fusese compromis cu mai mult de un an înainte și a furnizat acces la date sensibile de autentificare și identitate.
Când dispozitivul inginerului a fost compromis, acesta lucra pentru Affirmed Networks, pe care Microsoft a achiziționat-o în 2020 pentru a-și consolida platforma de cloud cu soluții de rețea mobilă complet virtualizate, native pentru cloud, pentru operatorii care doreau să implementeze și să mențină rețele 5G mai ușor și cu costuri mai mici.
După achiziționarea Affirmed Networks și fără a efectua o auditare de securitate cibernetică, Microsoft a furnizat acreditările corporative inginerului al cărui dispozitiv fusese deja compromis de Storm-0558.
Cu toate acestea, CSRB afirmă că Microsoft nu a reușit să furnizeze nicio dovadă care să susțină această teorie și a actualizat doar avertismentul său cu clarificări după ce a primit presiuni de la Board.
‘Microsoft crede, deși nu a produs nicio dovadă specifică în acest sens, că această intruziune din 2021 a fost probabil legată de compromiterea atacului online Exchange din 2023, deoarece este singura altă intruziune cunoscută a rețelei Microsoft de către Storm-0558 în memoria înregistrată. În timpul acestui incident din 2021, Microsoft crede că Storm-0558 a obținut acces la date sensibile de autentificare și identitate’ – Cyber Safety Review Board
CSRB afirmă că, până în prezent, Microsoft nu are încă dovezi concludente cu privire la modul în care actorii de amenințare au furat cheia de semnare și că investigația este în curs.
În timpul intruziunii din 2023, actorul de amenințare a accesat e-mailurile unor reprezentanți de rang înalt ai guvernului SUA implicați în probleme de securitate națională:
Cel puțin șase săptămâni, hackerii au furat aproximativ 60.000 de e-mailuri neclasificate doar de la Departamentul de Stat al SUA.
Microsoft descrie Storm-0558 ca un actor de amenințare din China concentrat pe spionaj, care operează ca un grup distinct, dar ale cărui activități și metode arată o suprapunere cu alte grupuri chineze.
Țintele sale sunt în principal în SUA și Europa și constau în ‘organe diplomatice, economice și legislative guvernamentale și persoane conectate la interesele geopolitice din Taiwan și Uyghur’.
Compania notează că grupul de hackeri prezintă o securitate operațională ridicată și abilități tehnice, o înțelegere profundă a multor tehnici și aplicații de autentificare și este bine informat cu privire la mediul unei ținte.
Într-o întâlnire cu CSRB, reprezentanții Google au declarat că Grupul său de Analiză a Amenințărilor (TAG) a reușit să lege ‘cel puțin o entitate’ legată de Storm-0558 de grupul din spatele Operațiunii Aurora, un atac cibernetic din 2009 din China care a compromis infrastructura corporativă a Google și a dus la furtul de proprietate intelectuală.
Ca parte a Operațiunii Aurora, care a fost primul atac sofisticat la scară largă asupra sectorului comercial, au fost compromise peste 20 de alte companii, inclusiv Yahoo, Adobe, Morgan Stanley, Juniper Networks, Symantec, Northrop Grumman și Dow Chemical.
Microsoft afirmă că obiectivul în majoritatea campaniilor Storm-0558 este de a obține acces la conturile de e-mail ale organizației țintă prin metode care variază de la colectarea de acreditări și phishing până la atacuri cu token-uri OAuth.
Peste 28.500 de servere Exchange vulnerabile la o eroare exploatată activ
Germania avertizează cu privire la 17.000 de servere Microsoft Exchange vulnerabile expuse online
Microsoft afirmă că hackerii ruși au compromis sistemele sale, accesând codul sursă
Departamentul de Stat al SUA investighează presupusa furt de date guvernamentale
Microsoft avertizează că Gmail blochează unele e-mailuri Outlook ca spam, oferă soluție
Leave a Reply