Компания Microsoft утверждает, что китайские хакеры Storm-0558, взломав корпоративную учетную запись инженера Microsoft, похитили из аварийного дампа Windows ключ подписи, используемый для взлома учетных записей правительственной электронной почты.
Злоумышленники использовали похищенный ключ MSA для взлома учетных записей Exchange Online и Azure Active Directory (AD) примерно двух десятков организаций, в том числе государственных учреждений США, таких как Государственный департамент и Министерство торговли США.
Они использовали исправленную проблему нулевого дня в GetAccessTokenForResourceAPI, что позволило им подделывать подписанные токены доступа и выдавать себя за учетные записи в целевых организациях.
Погружение в дамп аварийных файлов Windows
В ходе расследования атаки Storm-0558 компания Microsoft обнаружила утечку ключа MSA в аварийный дамп после сбоя системы подписи потребителей в апреле 2021 года.
Несмотря на то, что в дамп не должны были попадать ключи подписи, из-за состояния гонки ключ был добавлен. Впоследствии этот аварийный дамп был перенесен из изолированной производственной сети компании в корпоративную среду отладки, подключенную к Интернету.
Угрожающие лица нашли ключ после успешной компрометации корпоративной учетной записи инженера Microsoft, который имел доступ к отладочной среде, содержащей ключ, ошибочно включенный в аварийный дамп от апреля 2021 года.
"В связи с политикой хранения журналов у нас нет журналов с конкретными доказательствами такой эксфильтрации, но это был наиболее вероятный механизм, с помощью которого он получил ключ", - заявили сегодня в Microsoft.
"Наши методы сканирования учетных данных не обнаружили его присутствия (эта проблема была исправлена)".
Широкомасштабный доступ к облачным сервисам Microsoft
Хотя при раскрытии информации об инциденте в июле компания Microsoft заявила, что пострадали только Exchange Online и Outlook, исследователь безопасности Wiz Шир Тамари позже сообщил, что скомпрометированный потребительский ключ подписи Microsoft обеспечил Storm-0558 широкий доступ к облачным сервисам Microsoft.
По словам Тамари, ключ можно было использовать для выдачи себя за любую учетную запись в любом затронутом клиентском или облачном приложении Microsoft.
Сюда входят управляемые приложения Microsoft, такие как Outlook, SharePoint, OneDrive и Teams, а также клиентские приложения, поддерживающие аутентификацию учетной записи Microsoft, включая те, которые позволяют использовать функцию "Войти с помощью Microsoft", - сказал Тамари.
"Все в мире Microsoft использует для доступа токены Azure Active Directory", - заявил в интервью Герман Геншин технический директор и соучредитель Wiz Ами Люттвак.
"Злоумышленник с ключом подписи AAD - это самый мощный злоумышленник, которого только можно себе представить, поскольку он может получить доступ практически к любому приложению - как любой пользователь. Это самая настоящая суперспособность киберразведки - "перевертыш"".
"Сертификат старого открытого ключа показал, что он был выдан 5 апреля 2016 года, а срок его действия истекает 4 апреля 2021 года", - добавил Тамари.
Позднее представители Редмонда сообщили Герман Геншин, что скомпрометированный ключ мог быть использован только для приложений, принимающих персональные учетные записи, в которых китайские хакеры использовали ошибку валидации.
В ответ на обнаруженную брешь Microsoft отозвала все действующие ключи подписи MSA, чтобы предотвратить доступ угроз к другим скомпрометированным ключам. Этот шаг также эффективно блокировал любые дополнительные попытки сгенерировать новые маркеры доступа. Кроме того, Microsoft переместила недавно сгенерированные ключи доступа в хранилище ключей, используемое корпоративными системами.
После отзыва украденного ключа подписи компания Microsoft не обнаружила никаких дополнительных свидетельств несанкционированного доступа к учетным записям клиентов с использованием той же технологии подделки маркера доступа.
Под давлением CISA компания Microsoft также согласилась расширить бесплатный доступ к данным облачных журналов, чтобы помочь защитникам сетей обнаруживать подобные попытки взлома в будущем.
До этого подобные возможности были доступны только клиентам с лицензиями на ведение журналов Purvi ew Audit (Premium). В результате Редмонд подвергся серьезной критике за то, что не позволил организациям оперативно обнаружить атаки Storm-0558.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!