Chinesische Hacker stehlen Microsoft-Signierschlüssel, um Regierungsorganisationen anzugreifen.

Im April stahlen chinesische Hacker namens Storm-0558 einen Microsoft-Signierschlüssel und nutzten diesen Schlüssel, um in das Regierungs-Konto aus dem Windows-Crash-Dump einzudringen, nachdem der Hacker das Unternehmens-Konto eines Microsoft-Ingenieurs infiziert hatte.

Damit nutzten die Hacker den Microsoft-Schlüssel, um in das Azure Active Directory und Exchange Online mehrerer Regierungsorganisationen in den Vereinigten Staaten einzudringen. Außerdem nutzten die Hacker das Zero-Day-Problem in GetAcessTokenForResourceAPI, das den Hackern die Erstellung von signierten Zugriffstoken und die Imitation von Konten in den angegriffenen Organisationen ermöglichte.

Microsoft gab an, dass der MSA-Schlüssel in einen Crash-Dump geleakt wurde, als das Verbrauchersignierungssystem Anfang dieses Jahres abstürzte.

Der Crash-Dump hätte jedoch den MSI-Schlüssel nicht enthalten dürfen, obwohl eine Rennsituation dazu führte, dass der MSI-Schlüssel hinzugefügt wurde. Der Crash-Dump wurde später von Microsofts isoliertem Produktionsnetzwerk in den mit dem Internet verbundenen Unternehmens-Debugging-Bereich des Unternehmens übertragen.

Lesen: E-Mail-Dienst der US-Regierung in einer gezielten Kampagne gehackt

Wie oben erwähnt, fanden die Hacker den MSI-Schlüssel, indem sie das Unternehmens-Konto des Ingenieurs infizierten, das Zugang zu der Debugging-Domain hatte, die den Schlüssel fälschlicherweise im Crash-Dump früher in diesem Jahr enthielt.

Darüber hinaus fügte das Unternehmen hinzu, dass sie aufgrund der Protokollaufbewahrungspolitiken kein Protokoll mit spezifischen Beweisen für die Exfiltration durch den Hacker haben, obwohl dies die wahrscheinlichste Methode war, durch die der Bedrohungsakteur den Schlüssel erlangte. Zusätzlich erkennt unser Credential-Scanning dessen Vorhandensein nicht, was bedeutet, dass das Problem behoben wurde.

Das gesagt, als das Unternehmen im Juli den Vorfall bekannt gab, waren nur Outlook und Exchange Online betroffen. Sicherheitsforscher Shir Tamari sagte jedoch, dass der infizierte Microsoft-Verbrauchersignierschlüssel den Hackern umfassenden Zugang zu Microsofts Cloud-Diensten gab.

Der Sicherheitsforscher sagte, dass der Schlüssel verwendet werden kann, um jedes Konto innerhalb eines infizierten Kunden oder jeder cloudbasierten Anwendung und verwalteten Apps wie Sharepoint, Outlook und Team zu imitieren, einschließlich der Apps, die eine Anmeldung mit Microsoft-Funktion erlauben und die Microsoft-Authentifizierung unterstützen.

Ami Luttwak, Mitbegründer von Wiz, erwähnte, dass alles in der Welt von Microsoft von Azure Active Directory-Authentifizierungstoken für den Zugriff profitiert. Das alte öffentliche Schlüsselsiegel zeigt, dass es im April 2015 ausgestellt und im April 2021 abgelaufen ist.

Das Sicherheitsunternehmen Redmond fügte weiter hinzu, dass der kompromittierte Sicherheitsschlüssel nur verwendet werden konnte, um Apps anzugreifen, die persönliche Konten akzeptierten und den Validierungsfehler nutzten, der von Storm-0558 verwendet wurde.

Als Reaktion auf die Sicherheitsverletzung hat das Unternehmen alle gültigen MSI-Signierschlüssel zurückgezogen, um zu verhindern, dass die Angreifer Zugriff auf einen der kompromittierten Schlüssel erhalten.

Dies blockiert nicht nur weitere Versuche, neue Zugriffstoken zu erstellen. Darüber hinaus hat das Unternehmen auch die kürzlich erstellten Zugriffstoken in den Schlüssel-Speicher verschoben, der von den Unternehmensmaschinen verwendet wird.

Seit dem Widerruf der gestohlenen Schlüssel hat Microsoft keine weiteren Beweise für unbefugten Zugriff auf die Kundenkonten gefunden, die dieselbe Methode zur Fälschung von Authentifizierungstoken verwenden.

Darüber hinaus stimmte das Unternehmen, als es von der CISA gedrängt wurde, auch zu, den Zugriff auf Cloud-Protokolldaten kostenlos zu erhöhen, um den Verteidigern zu helfen, ähnliche Einbruchsversuche in Zukunft zu erkennen.

Lesen: Google führt sein KI-Suchtool in Indien ein