Hacker cinesi rubano la chiave di firma di Microsoft per colpire le organizzazioni governative.

In aprile, hacker cinesi chiamati Storm-0558 hanno rubato una chiave di firma di Microsoft e hanno utilizzato quella chiave per infiltrarsi nell’account governativo dal dump di crash di Windows dopo che l’hacker ha infettato l’account aziendale di un ingegnere Microsoft.

Con questo, gli hacker hanno utilizzato la chiave Microsoft per infiltrarsi nell’Azure Active Directory e in Exchange Online di diverse organizzazioni governative negli Stati Uniti. Inoltre, gli hacker hanno sfruttato il problema zero-day in GetAcessTokenForResourceAPI, che ha autorizzato gli hacker a creare token di accesso firmati e imitare account nelle organizzazioni target.

Microsoft ha dichiarato di aver scoperto che la chiave MSA era stata trapelata in un dump di crash poiché il sistema di firma dei consumatori è andato in crash all’inizio di quest’anno.

Tuttavia, il dump di crash non avrebbe dovuto includere la chiave MSI, anche se una situazione di race ha portato all’aggiunta della chiave MSI. Il dump di crash è stato poi trasferito dalla rete di produzione isolata di Microsoft allo spazio di debug aziendale connesso a Internet.

Leggi: Servizio email del governo degli Stati Uniti hackerato in una campagna mirata

Come accennato sopra, gli hacker hanno trovato la chiave MSI infettando l’account aziendale dell’ingegnere dell’azienda, che aveva accesso al dominio di debug contenente la chiave erroneamente nel dump di crash all’inizio di quest’anno.

Inoltre, l’azienda ha aggiunto che, a causa delle politiche di retention dei log, non hanno un log con prove specifiche dell’esfiltrazione da parte dell’hacker, anche se questo era il metodo più probabile con cui l’attore della minaccia ha ottenuto la chiave. Inoltre, la nostra scansione delle credenziali non rileva la sua presenza, il che significa che il problema è stato risolto.

Detto ciò, quando l’azienda ha rivelato l’incidente a luglio, solo Outlook e Exchange Online sono stati colpiti. Tuttavia, il ricercatore di sicurezza Shir Tamari ha dichiarato che la chiave di firma dei consumatori Microsoft infettata ha dato agli hacker un accesso esteso ai servizi cloud di Microsoft.

Il ricercatore di sicurezza ha affermato che la chiave può essere utilizzata per imitare qualsiasi account all’interno di qualsiasi cliente infettato o qualsiasi applicazione basata su cloud e app gestite Sharepoint, Outlook e Team, inclusi quelle app che consentono l’accesso con la funzione Microsoft e quelle che supportano l’autenticazione Microsoft.

Ami Luttwak, co-fondatore di Wiz, ha menzionato che tutto nel mondo di Microsoft sfrutta i token di autenticazione di Azure Active Directory per l’accesso. Il vecchio certificato della chiave pubblica rivela che è stato emesso nell’aprile 2015 ed è scaduto nell’aprile 2021.

La società di sicurezza Redmond ha ulteriormente aggiunto che la chiave di sicurezza compromessa potrebbe essere utilizzata solo per colpire app che accettavano account personali e avevano l’errore di validazione utilizzato da Storm-0558.

Ora, in risposta alla violazione della sicurezza, l’azienda ha annullato tutte le chiavi di firma MSI valide per prevenire gli attaccanti dall’ottenere accesso a qualsiasi delle chiavi compromesse.

Questo non solo blocca ulteriori tentativi di creare nuovi token di accesso. Non solo questo, l’azienda ha anche spostato i token di accesso recentemente creati nel keystore utilizzato dalle macchine aziendali.

Da quando ha annullato le chiavi rubate, Microsoft non ha trovato ulteriori prove di accesso non autorizzato agli account dei clienti che utilizzano lo stesso metodo di falsificazione del token di autenticazione.

Inoltre, quando costretta dalla CISA, l’azienda ha anche accettato di aumentare l’accesso ai dati di logging cloud gratuitamente per aiutare i difensori a rilevare gli stessi tipi di tentativi di intrusione in futuro.

Leggi: Google introduce il suo strumento di ricerca AI in India