A Microsoft oferece mais informações sobre como os hackers chineses obtiveram acesso às contas de e-mail do governo

Jun 15, 2023

John Callaham Neowin @JCalNEO · 17 de julho de 2023 08:48 EDT com 0 comentários

Na semana passada, a Microsoft informou que um grupo de hackers chineses obteve acesso a contas de e-mail governamentais nos EUA e na Europa. Especificamente, o grupo de hackers entrou em contas de e-mail que usavam o Outlook Web Access da Microsoft no Exchange Online e também no Outlook.com.

Em uma postagem de acompanhamento no blog, a Microsoft ofereceu mais alguns detalhes sobre como esse grupo, conhecido como Storm-0558, conseguiu obter acesso a essas contas usando o sistema online da empresa. A Microsoft declarou:

Storm-0558 adquiriu uma chave de assinatura de consumidor MSA inativa e a usou para forjar tokens de autenticação para empresas Azure AD e consumidores MSA para acessar OWA e Outlook.com. Todas as chaves MSA ativas antes do incidente – incluindo a chave de assinatura MSA adquirida pelo ator – foram invalidadas. As chaves do Azure AD não foram afetadas. O método pelo qual o ator adquiriu a chave é uma questão de investigação contínua. Embora a chave se destinasse apenas a contas MSA, um problema de validação permitiu que esta chave fosse confiável para assinar tokens AD Azure. Este problema foi corrigido.

O blog também explica como o grupo de hackers usou essa chave de assinatura para obter acesso à versão web do Outlook:

Depois de autenticado por meio de um fluxo de cliente legítimo aproveitando o token forjado, o agente da ameaça acessou a API do OWA para recuperar um token para o Exchange Online da API GetAccessTokenForResource usada pelo OWA. O ator conseguiu obter novos tokens de acesso apresentando um emitido anteriormente a partir desta API devido a uma falha de design. Esta falha no GetAccessTokenForResourceAPI foi corrigida para aceitar apenas tokens emitidos do Azure AD ou MSA, respectivamente. O ator usou esses tokens para recuperar mensagens de correio da API do OWA.

Como parte dos seus esforços para corrigir este problema, a Microsoft fez algumas alterações nos seus procedimentos:

Isso inclui maior isolamento dos sistemas, monitoramento refinado da atividade do sistema e mudança para o armazenamento de chaves reforçado usado em nossos sistemas corporativos. Revogamos todas as chaves ativas anteriormente e emitimos novas chaves usando esses sistemas atualizados. Nossa investigação ativa indica que essas melhorias de proteção e isolamento interrompem os mecanismos que acreditamos que o ator poderia ter usado para adquirir chaves de assinatura MSA.

A Microsoft afirma que nenhuma ação é necessária por parte de seus clientes do Outlook Web, pois afirma que “todas as atividades dos atores relacionadas a este incidente foram bloqueadas”. Acrescentou que “continuará monitorando a atividade do Storm-0558 e implementando proteções para nossos clientes.

John Callaham · 25 de agosto de 2023 com 1 comentário

John Callaham · 6 de março de 2023 com 18 comentários

Rahul Naskar · 14 de outubro de 2022 com 0 comentários