Los hackers chinos roban la clave de firma de Microsoft para atacar organizaciones gubernamentales.

En abril, los hackers chinos llamados Storm-0558 robaron una clave de firma de Microsoft y utilizaron esa clave para infiltrarse en la cuenta del Gobierno a partir del volcado de memoria de Windows después de que el hacker infectara la cuenta corporativa de un ingeniero de Microsoft.

Con esto, los hackers utilizaron la clave de Microsoft para infiltrarse en el Azure Active Directory y Exchange Online de varias organizaciones gubernamentales en los Estados Unidos. Además, los hackers aprovecharon el problema de día cero en GetAcessTokenForResourceAPI, que autorizó a los hackers a crear tokens de acceso firmados e imitar cuentas en las organizaciones objetivo.

Microsoft dijo que descubrió que la clave MSA se filtró en un volcado de memoria ya que el sistema de firma de consumidores falló a principios de este año.

Sin embargo, el volcado de memoria no debería haber incluido la clave MSI, aunque una situación de carrera llevó a que la clave MSI se añadiera. El volcado de memoria fue luego transferido de la red de producción aislada de Microsoft al espacio de depuración corporativa conectado a Internet de la empresa.

Leer: Servicio de correo electrónico del Gobierno de EE. UU. hackeado en una campaña dirigida

Como se mencionó anteriormente, los hackers encontraron la clave MSI al infectar la cuenta corporativa del ingeniero de la empresa, que tenía acceso al dominio de depuración que contenía la clave erróneamente en el volcado de memoria a principios de este año.

Además, la empresa agregó que debido a las políticas de retención de registros, no tienen un registro con evidencia específica de la exfiltración por parte del hacker, aunque este fue el método más probable por el cual el actor de la amenaza obtuvo la clave. Además de esto, nuestro escaneo de credenciales no detecta su presencia, lo que significa que el problema ha sido solucionado.

Dicho esto, cuando la empresa reveló el incidente en julio, solo Outlook y Exchange Online se vieron afectados. Sin embargo, el investigador de seguridad Shir Tamari dijo que la clave de firma de consumidor de Microsoft infectada dio a los hackers un acceso extenso a los servicios en la nube de Microsoft.

El investigador de seguridad dijo que la clave puede ser utilizada para imitar cualquier cuenta dentro de cualquier cliente infectado o cualquier aplicación basada en la nube y aplicaciones gestionadas como Sharepoint, Outlook y Team, incluyendo aquellas aplicaciones que permiten iniciar sesión con la función de Microsoft y aquellas que soportan la Autenticación de Microsoft.

Ami Luttwak, cofundador de Wiz, mencionó que todo en el mundo de Microsoft aprovecha los tokens de autenticación de Azure Active Directory para el acceso. El antiguo certificado de clave pública revela que fue emitido en abril de 2015 y expiró en abril de 2021.

La firma de seguridad Redmond agregó además que la clave de seguridad comprometida solo podría ser utilizada para atacar aplicaciones que aceptaran cuentas personales y tenían el error de validación utilizado por Storm-0558.

Ahora, en respuesta a la violación de seguridad, la empresa anuló todas las claves de firma MSI válidas para evitar que los atacantes obtuvieran acceso a cualquiera de las claves comprometidas.

Esto no solo bloquea más intentos de crear nuevos tokens de acceso. No solo esto, la empresa también movió los tokens de acceso recientemente creados al almacén de claves utilizado por las máquinas empresariales.

Desde que se anularon las claves robadas, Microsoft no ha encontrado más pruebas de acceso no autorizado a las cuentas de los clientes que emplean el mismo método de forja de tokens de autenticación.

Además, cuando fue presionada por la CISA, la empresa también acordó aumentar el acceso a los datos de registro en la nube de forma gratuita para ayudar a los defensores a detectar el mismo tipo de intentos de infiltración en el futuro.

Leer: Google presenta su herramienta de búsqueda de IA en India