A Microsoft oferece mais informações sobre como os hackers chineses obtiveram acesso às contas de e-mail do governo
John Callaham Neowin @JCalNEO · 17 de julho de 2023 08:48 EDT com 0 comentários
Na semana passada, a Microsoft informou que um grupo de hackers chineses obteve acesso a contas de e-mail governamentais nos EUA e na Europa. Especificamente, o grupo de hackers entrou em contas de e-mail que usavam o Outlook Web Access da Microsoft no Exchange Online e também no Outlook.com.
Em uma postagem de acompanhamento no blog, a Microsoft ofereceu mais alguns detalhes sobre como esse grupo, conhecido como Storm-0558, conseguiu obter acesso a essas contas usando o sistema online da empresa. A Microsoft declarou:
Storm-0558 adquiriu uma chave de assinatura de consumidor MSA inativa e a usou para forjar tokens de autenticação para empresas Azure AD e consumidores MSA para acessar OWA e Outlook.com. Todas as chaves MSA ativas antes do incidente – incluindo a chave de assinatura MSA adquirida pelo ator – foram invalidadas. As chaves do Azure AD não foram afetadas. O método pelo qual o ator adquiriu a chave é uma questão de investigação contínua. Embora a chave se destinasse apenas a contas MSA, um problema de validação permitiu que esta chave fosse confiável para assinar tokens AD Azure. Este problema foi corrigido.
O blog também explica como o grupo de hackers usou essa chave de assinatura para obter acesso à versão web do Outlook:
Depois de autenticado por meio de um fluxo de cliente legítimo aproveitando o token forjado, o agente da ameaça acessou a API do OWA para recuperar um token para o Exchange Online da API GetAccessTokenForResource usada pelo OWA. O ator conseguiu obter novos tokens de acesso apresentando um emitido anteriormente a partir desta API devido a uma falha de design. Esta falha no GetAccessTokenForResourceAPI foi corrigida para aceitar apenas tokens emitidos do Azure AD ou MSA, respectivamente. O ator usou esses tokens para recuperar mensagens de correio da API do OWA.
Como parte dos seus esforços para corrigir este problema, a Microsoft fez algumas alterações nos seus procedimentos:
Isso inclui maior isolamento dos sistemas, monitoramento refinado da atividade do sistema e mudança para o armazenamento de chaves reforçado usado em nossos sistemas corporativos. Revogamos todas as chaves ativas anteriormente e emitimos novas chaves usando esses sistemas atualizados. Nossa investigação ativa indica que essas melhorias de proteção e isolamento interrompem os mecanismos que acreditamos que o ator poderia ter usado para adquirir chaves de assinatura MSA.
A Microsoft afirma que nenhuma ação é necessária por parte de seus clientes do Outlook Web, pois afirma que “todas as atividades dos atores relacionadas a este incidente foram bloqueadas”. Acrescentou que “continuará monitorando a atividade do Storm-0558 e implementando proteções para nossos clientes.
John Callaham · 25 de agosto de 2023 com 1 comentário
John Callaham · 6 de março de 2023 com 18 comentários
Rahul Naskar · 14 de outubro de 2022 com 0 comentários