Компания Microsoft представила официальное объяснение инцидента, который привел к утечке ключа доступа из облачной инфраструктуры компании. По данным Microsoft, группа хакеров, известная как Storm-0558 и базирующаяся в Китае, смогла украсть частный ключ MSA (Microsoft Account) и получить доступ к учетным записям организаций, включая американские правительственные агентства.
Суть инцидента заключается в цепи событий, которая позволила хакерам получить доступ к ключу и использовать его для доступа к онлайн-аккаунтам. В апреле 2021 года произошло аварийное завершение работы системы аутентификации, что привело к созданию файла дампа. В обычных условиях такие файлы дампов не должны содержать чувствительной информации, включая ключи, но из-за сбоя в системе безопасности ключ оказался в файле дампа.
Интересно, что системы безопасности не обнаружили наличие ключа в дампе. Однако изолированная среда, где произошел сбой, не позволяет использовать электронную почту и другие средства коммуникации, что сделало бы доступ к дампу ограниченным. Однако из-за недостаточной обработки сбоя, файл дампа был перемещен в отладочную среду, которая имеет доступ к интернету и является частью корпоративной сети Microsoft.
Позднее группе хакеров Storm-0558 удалось скомпрометировать корпоративную учетную запись инженера Microsoft, которая имела доступ к отладочной среде с файлом дампа и ключом. Microsoft заявляет, что не может подтвердить свою гипотезу с помощью журналов из-за политики хранения логов.
Последней частью этой цепочки событий стала уязвимость, которая позволила хакерам использовать ключ доступа для доступа к корпоративной электронной почте. Компания утверждает, что проблемы, которые привели к этому инциденту, были устранены, включая исправление сбоя, обнаружения ключей в файлах дампов и улучшение процесса отладки.
События, приведшие к утечке ключа, вызывают вопросы исследователей, так как требуют целой цепочки совпадений и недоразумений. Как хакеры смогли найти ключ в файле дампа, когда собственные системы Microsoft не смогли его обнаружить, остается загадкой. Этот инцидент, вероятно, не последний в списке вопросов, связанных с его расследованием.