Des hackers chinois volent une clé de signature Microsoft pour cibler des organisations gouvernementales.

En avril, des hackers chinois nommés Storm-0558 ont volé une clé de signature Microsoft et ont utilisé cette clé pour pénétrer dans le compte gouvernemental à partir du vidage mémoire Windows après que le hacker a infecté le compte d’un ingénieur de Microsoft.

Avec cela, les hackers ont utilisé la clé Microsoft pour pénétrer dans l’Azure Active Directory et Exchange Online de plusieurs organisations gouvernementales aux États-Unis. De plus, les hackers ont exploité le problème de jour zéro dans GetAcessTokenForResourceAPI, qui a autorisé les hackers à créer des jetons d’accès signés et à imiter des comptes dans les organisations ciblées.

Microsoft a déclaré avoir découvert que la clé MSA avait été divulguée dans un vidage mémoire lorsque le système de signature des consommateurs a planté plus tôt cette année.

Cependant, le vidage mémoire n’aurait pas dû inclure la clé MSI, bien qu’une situation de concurrence ait conduit à l’ajout de la clé MSI. Le vidage mémoire a ensuite été transféré du réseau de production isolé de Microsoft vers l’espace de débogage d’entreprise connecté à Internet de la société.

Lire : Service de messagerie du gouvernement américain piraté dans une campagne ciblée

Comme mentionné ci-dessus, les hackers ont trouvé la clé MSI en infectant le compte d’entreprise de l’ingénieur de la société, qui avait accès au domaine de débogage portant la clé par erreur dans le vidage mémoire plus tôt cette année.

De plus, la société a ajouté qu’en raison des politiques de conservation des journaux, elle n’a pas de journal avec des preuves spécifiques de l’exfiltration par le hacker, bien que cela ait été la méthode la plus probable par laquelle l’acteur de la menace a obtenu la clé. En outre, notre analyse des identifiants ne détecte pas sa présence, ce qui signifie que le problème a été corrigé.

Cela dit, lorsque la société a révélé l’incident en juillet, seuls Outlook et Exchange Online étaient impactés. Cependant, le chercheur en sécurité Shir Tamari a déclaré que la clé de signature des consommateurs Microsoft infectée avait donné aux hackers un accès étendu aux services cloud de Microsoft.

Le chercheur en sécurité a déclaré que la clé pouvait être utilisée pour imiter n’importe quel compte au sein de n’importe quel client infecté ou de toute application basée sur le cloud et des applications gérées Sharepoint, Outlook et Team, y compris celles qui permettent la connexion avec la fonction Microsoft et celles qui prennent en charge l’authentification Microsoft.

Ami Luttwak, co-fondateur de Wiz, a mentionné que tout dans le monde de Microsoft profite des jetons d’authentification Azure Active Directory pour l’accès. L’ancien certificat de clé publique révèle qu’il a été émis en avril 2015 et a expiré en avril 2021.

La société de sécurité Redmond a ajouté que la clé de sécurité compromise ne pouvait être utilisée que pour cibler des applications qui acceptaient des comptes personnels et avaient l’erreur de validation exploitée par Storm-0558.

Maintenant, en réponse à la violation de sécurité, la société a annulé toutes les clés de signature MSI valides pour empêcher les attaquants d’accéder à l’une des clés compromises.

Cela bloque non seulement toute nouvelle tentative de création de nouveaux jetons d’accès. Non seulement cela, la société a également déplacé les jetons d’accès récemment créés vers le magasin de clés utilisé par les machines d’entreprise.

Depuis l’annulation des clés volées, Microsoft n’a pas trouvé d’autres preuves d’accès non autorisé aux comptes clients qui utilisent la même méthode de falsification de jetons d’authentification.

De plus, lorsqu’elle a été contrainte par la CISA, la société a également accepté d’augmenter l’accès aux données de journalisation cloud gratuitement pour aider les défenseurs à détecter les mêmes types de tentatives d’intrusion à l’avenir.

Lire : Google introduit son outil de recherche IA en Inde