Hackers Chineses Roubaram Chave de Assinatura da Microsoft para Alvo de Organizações Governamentais.

Em abril, hackers chineses chamados Storm-0558 roubaram uma chave de assinatura da Microsoft e usaram essa chave para invadir a conta do Governo a partir do despejo de falhas do Windows, após o hacker infectar a conta corporativa de um engenheiro da Microsoft.

Com isso, os hackers usaram a chave da Microsoft para invadir o Azure Active Directory e o Exchange Online de várias organizações governamentais nos Estados Unidos. Além disso, os hackers utilizaram a questão de zero-day no GetAcessTokenForResourceAPI, que autorizou os hackers a criar tokens de acesso assinados e imitar contas nas organizações-alvo.

A Microsoft disse que descobriu que a chave MSA foi vazada em um despejo de falhas, pois o sistema de assinatura do consumidor falhou no início deste ano.

No entanto, o despejo de falhas não deveria ter incluído a chave MSI, embora uma situação de corrida tenha levado à adição da chave MSI. O despejo de falhas foi então transferido da rede de produção isolada da Microsoft para o espaço de depuração corporativa conectado à internet da empresa.

Leia: Serviço de Email do Governo dos EUA Hackeado em uma Campanha Direcionada

Como mencionado acima, os hackers encontraram a chave MSI infectando a conta corporativa do engenheiro da empresa, que tinha acesso ao domínio de depuração que carregava a chave erroneamente no despejo de falhas no início deste ano.

Além disso, a empresa acrescentou que, devido às políticas de retenção de logs, não possui um log com evidências específicas da exfiltração pelo hacker, embora esse tenha sido o método mais provável pelo qual o ator de ameaça obteve a chave. Além disso, nossa varredura de credenciais não detecta sua presença, o que significa que o problema foi corrigido.

Dito isso, quando a empresa revelou o incidente em julho, apenas o Outlook e o Exchange Online foram impactados. No entanto, o pesquisador de segurança Shir Tamari disse que a chave de assinatura do consumidor da Microsoft infectada deu aos hackers amplo acesso aos serviços de nuvem da Microsoft.

O pesquisador de segurança disse que a chave pode ser usada para imitar qualquer conta dentro de qualquer cliente infectado ou qualquer aplicativo baseado em nuvem e aplicativos gerenciados Sharepoint, Outlook e Team, incluindo aqueles aplicativos que permitem login com a função Microsoft e aqueles que suportam a Autenticação Microsoft.

Ami Luttwak, cofundador da Wiz, mencionou que tudo no mundo da Microsoft aproveita os tokens de autenticação do Azure Active Directory para acesso. O antigo certificado de chave pública revela que foi emitido em abril de 2015 e expirou em abril de 2021.

A empresa de segurança Redmond acrescentou ainda que a chave de segurança comprometida só poderia ser usada para direcionar aplicativos que aceitavam contas pessoais e tinham o erro de validação utilizado pelo Storm-0558.

Agora, respondendo à violação de segurança, a empresa revogou todas as chaves de assinatura MSI válidas para impedir que os atacantes obtivessem acesso a qualquer uma das chaves comprometidas.

Isso não apenas bloqueia mais tentativas de criar novos tokens de acesso. Não só isso, a empresa também moveu os tokens de acesso recentemente criados para o armazenamento de chaves usado pelas máquinas empresariais.

Desde a revogação das chaves roubadas, a Microsoft não encontrou mais provas de acesso não autorizado às contas de clientes que utilizam o mesmo método de forjamento de token de autenticação.

Além disso, quando pressionada pela CISA, a empresa também concordou em aumentar o acesso aos dados de registro em nuvem gratuitamente para ajudar os defensores a detectar o mesmo tipo de tentativas de invasão no futuro.

Leia: Google Introduz Sua Ferramenta de Busca com IA na Índia