중국 해커, 정부 기관을 겨냥하기 위해 마이크로소프트 서명 키를 훔치다.

4월에 중국 해커 Storm-0558이 마이크로소프트 서명 키를 훔쳐 이 키를 사용하여 해커가 마이크로소프트 엔지니어의 기업 계정을 감염시킨 후 정부 계정에 침입했습니다.

이를 통해 해커들은 마이크로소프트 키를 사용하여 미국의 여러 정부 기관의 Azure Active Directory 및 Exchange Online에 침입했습니다. 또한 해커들은 GetAcessTokenForResourceAPI의 제로데이 문제를 활용하여 서명된 액세스 토큰을 만들고 목표 조직의 계정을 모방할 수 있었습니다.

마이크로소프트는 MSA 키가 올해 초 소비자 서명 시스템이 충돌하면서 크래시 덤프에 유출된 것을 발견했다고 밝혔습니다.

그러나 크래시 덤프에는 MSI 키가 포함되지 않아야 했지만 경쟁 상황으로 인해 MSI 키가 추가되었습니다. 이후 크래시 덤프는 마이크로소프트의 격리된 생산 네트워크에서 회사의 인터넷에 연결된 기업 디버깅 공간으로 전송되었습니다.

읽기: 미국 정부 이메일 서비스가 표적 캠페인에 해킹당함

위에서 언급한 바와 같이 해커들은 올해 초 크래시 덤프에서 실수로 키를 포함한 디버깅 도메인에 접근할 수 있는 회사 엔지니어의 기업 계정을 감염시켜 MSI 키를 찾았습니다.

또한 회사는 로그 보존 정책으로 인해 해커에 의한 유출에 대한 구체적인 증거가 포함된 로그가 없다고 덧붙였지만, 이는 위협 행위자가 키를 얻은 가장 가능성이 높은 방법이었습니다. 이와 더불어 우리의 자격 증명 스캐닝은 그 존재를 감지하지 못하며, 이는 문제가 해결되었음을 의미합니다.

그렇긴 하지만, 회사가 7월에 사건을 공개했을 때 영향을 받은 것은 Outlook과 Exchange Online뿐이었습니다. 그러나 보안 연구원 Shir Tamari는 감염된 마이크로소프트 소비자 서명 키가 해커들에게 마이크로소프트의 클라우드 서비스에 대한 광범위한 접근을 제공했다고 말했습니다.

보안 연구원은 이 키가 감염된 고객 내의 모든 계정이나 클라우드 기반 애플리케이션 및 Microsoft 기능으로 로그인할 수 있는 앱과 Microsoft 인증을 지원하는 앱을 모방하는 데 사용될 수 있다고 말했습니다.

Wiz의 공동 창립자 Ami Luttwak은 마이크로소프트의 모든 것이 접근을 위해 Azure Active Directory 인증 토큰을 활용한다고 언급했습니다. 오래된 공개 키 인증서는 2015년 4월에 발급되었고 2021년 4월에 만료되었음을 보여줍니다.

보안 회사 Redmond는 손상된 보안 키가 개인 계정을 수락하고 Storm-0558이 활용한 검증 오류가 있는 앱을 타겟으로 하는 데만 사용될 수 있다고 덧붙였습니다.

이제 보안 침해에 대응하여 회사는 공격자가 손상된 키에 접근하지 못하도록 모든 유효한 MSI 서명 키를 폐기했습니다.

이는 새로운 액세스 토큰을 생성하려는 추가 시도를 차단할 뿐만 아니라, 회사는 최근 생성된 액세스 토큰을 기업 기계에서 사용하는 키 저장소로 이동했습니다.

훔친 키를 폐기한 이후, 마이크로소프트는 동일한 인증 토큰 위조 방법을 사용하는 고객 계정에 대한 무단 접근의 추가 증거를 발견하지 못했습니다.

또한 CISA의 압박을 받았을 때, 회사는 방어자들이 앞으로 동일한 종류의 침입 시도를 탐지하는 데 도움을 주기 위해 클라우드 로깅 데이터에 대한 접근을 무료로 늘리기로 동의했습니다.

읽기: 구글, 인도에서 AI 검색 도구를 소개하다