中国のハッカーが政府機関を狙うためにMicrosoft署名キーを盗む

4月、中国のハッカーStorm-0558がMicrosoft署名キーを盗み、そのキーを使用してハッカーがMicrosoftエンジニアの企業アカウントを感染させた後、政府アカウントに侵入しました。

これにより、ハッカーはMicrosoftキーを使用して、アメリカのいくつかの政府機関のAzure Active DirectoryおよびExchange Onlineに侵入しました。また、ハッカーはGetAcessTokenForResourceAPIのゼロデイ問題を利用し、署名されたアクセス トークンを作成し、ターゲット組織内のアカウントを模倣しました。

Microsoftは、MSAキーが今年初めに消費者署名システムがクラッシュしたため、クラッシュダンプに漏洩したことを発見したと述べました。

しかし、クラッシュダンプにはMSIキーが含まれているべきではなかったが、レース状況によりMSIキーが追加されました。その後、クラッシュダンプはMicrosoftの隔離された生産ネットワークから、同社のインターネット接続された企業デバッグスペースに転送されました。

読む: 米国政府のメールサービスが標的キャンペーンでハッキングされる

上記のように、ハッカーは企業エンジニアの企業アカウントを感染させることによってMSIキーを見つけました。このアカウントは、今年初めにクラッシュダンプに誤って含まれていたキーを持つデバッグドメインにアクセスできました。

さらに、同社はログ保持ポリシーのため、ハッカーによる情報流出の具体的な証拠を示すログを持っていないと追加しましたが、これは脅威アクターがキーを取得した最も可能性の高い方法でした。これに加えて、私たちの資格情報スキャンではその存在を検出できず、問題は修正されたことを意味します。

とはいえ、同社が7月にこの事件を明らかにした際、影響を受けたのはOutlookとExchange Onlineのみでした。しかし、セキュリティ研究者のShir Tamariは、感染したMicrosoft消費者署名キーがハッカーにMicrosoftのクラウドサービスへの広範なアクセスを与えたと述べました。

セキュリティ研究者は、このキーを使用して、感染した顧客内の任意のアカウントや、Microsoft機能でログインを許可するアプリ、Microsoft認証をサポートするアプリを模倣できると述べました。

Wizの共同創設者Ami Luttwakは、Microsoftの世界ではすべてがAzure Active Directory認証トークンを利用してアクセスすることを利用していると述べました。古い公開鍵証明書は、2015年4月に発行され、2021年4月に期限切れになったことを示しています。

セキュリティ会社Redmondは、侵害されたセキュリティキーは、個人アカウントを受け入れ、Storm-0558によって利用された検証エラーを持つアプリをターゲットにするためにのみ使用できるとさらに追加しました。

現在、セキュリティ侵害に対応して、同社は攻撃者が侵害されたキーにアクセスできないように、すべての有効なMSI署名キーを無効にしました。

これにより、新しいアクセス トークンを作成する試みがさらにブロックされます。これに加えて、同社は最近作成されたアクセス トークンを企業マシンで使用されるキー ストアに移動しました。

盗まれたキーを無効にして以来、Microsoftは同じ認証トークン偽造方法を使用する顧客アカウントへの不正アクセスの証拠を見つけていません。

さらに、CISAに強制された際、同社は今後同様の侵入試みを検出するために防御者を支援するために、クラウドログデータへのアクセスを無料で増やすことにも同意しました。

読む: GoogleがインドでAI検索ツールを導入