Китайские хакеры украли ключ подписи Microsoft для атаки на государственные организации.

В апреле китайские хакеры под названием Storm-0558 украли ключ подписи Microsoft и использовали этот ключ для взлома правительственной учетной записи из дампа памяти Windows после того, как хакер заразил корпоративную учетную запись инженера Microsoft.

С помощью этого хакеры использовали ключ Microsoft для взлома Azure Active Directory и Exchange Online нескольких государственных организаций в Соединенных Штатах. Также хакеры использовали уязвимость нулевого дня в GetAcessTokenForResourceAPI, которая разрешала хакерам создавать подписанные токены доступа и имитировать учетные записи в целевых организациях.

Microsoft сообщила, что обнаружила утечку ключа MSA в дамп памяти, так как система подписи для потребителей вышла из строя ранее в этом году.

Тем не менее, дамп памяти не должен был включать ключ MSI, хотя ситуация гонки привела к добавлению ключа MSI. Дамп памяти затем был передан из изолированной производственной сети Microsoft в корпоративное отладочное пространство компании, подключенное к интернету.

Читать: Услуга электронной почты правительства США была взломана в целенаправленной кампании

Как упоминалось выше, хакеры нашли ключ MSI, заразив корпоративную учетную запись инженера компании, которая имела доступ к отладочному домену, содержащему ключ, ошибочно попавшему в дамп памяти ранее в этом году.

Кроме того, компания добавила, что из-за политики хранения журналов у них нет журнала с конкретными доказательствами эксфильтрации хакером, хотя это был наиболее вероятный способ, которым злоумышленник получил ключ. В дополнение к этому, наше сканирование учетных данных не обнаруживает его присутствия, что означает, что проблема была исправлена.

Тем не менее, когда компания раскрыла инцидент в июле, только Outlook и Exchange Online были затронуты. Однако исследователь безопасности Шир Тамари заявил, что зараженный ключ подписи Microsoft для потребителей предоставил хакерам широкий доступ к облачным сервисам Microsoft.

Исследователь безопасности сказал, что ключ может быть использован для имитации любой учетной записи в любой зараженной учетной записи клиента или любом облачном приложении, а также управляемых приложениях Sharepoint, Outlook и Team, включая те приложения, которые позволяют вход с помощью функции Microsoft и те, которые поддерживают аутентификацию Microsoft.

Ами Лутвак, соучредитель Wiz, упомянул, что все в мире Microsoft использует токены аутентификации Azure Active Directory для доступа. Старый сертификат открытого ключа показывает, что он был выдан в апреле 2015 года и истек в апреле 2021 года.

Безопасная компания Redmond добавила, что скомпрометированный ключ безопасности можно было использовать только для нацеливания на приложения, которые принимали личные учетные записи и имели ошибку валидации, использованную Storm-0558.

Теперь, реагируя на нарушение безопасности, компания аннулировала все действительные ключи подписи MSI, чтобы предотвратить доступ злоумышленников к любым скомпрометированным ключам.

Это не только дополнительно блокирует любые новые попытки создания новых токенов доступа. Более того, компания также переместила недавно созданные токены доступа в хранилище ключей, используемое корпоративными машинами.

С тех пор как были аннулированы украденные ключи, Microsoft не обнаружила больше доказательств несанкционированного доступа к учетным записям клиентов, использующим тот же метод подделки токенов аутентификации.

Более того, когда CISA оказала давление на компанию, она также согласилась увеличить доступ к данным облачного журнала бесплатно, чтобы помочь защитникам обнаруживать аналогичные попытки взлома в будущем.

Читать: Google представляет свой инструмент поиска на основе ИИ в Индии