Hack à M365 expôs mais do que e-mails do Exchange e Outlook

Views: 234
0 0
Read Time:2 Minute, 33 Second

Pesquisadores da startup de segurança em nuvem Wiz emitiram alerta para as organizações que executam a plataforma M365 da Microsoft. Essa chave de assinatura corporativa roubada do Microsoft Azure AD deu a hackers chineses acesso a dados, além de expor e-mails do Exchange Online e do Outlook.com.

“Nossos pesquisadores concluíram que a chave MSA comprometida poderia ter permitido que operadores de ameaças forjassem tokens de acesso para vários tipos de aplicativos do Azure Active Directory, incluindo todos os aplicativos que suportam autenticação de conta pessoal, como SharePoint, Teams, OneDrive”, disse o pesquisador da Wiz, Shir Tamari, em um documento publicado online.

Tamari disse que os hackers também podem ter acessado aplicativos de clientes da Microsoft que oferecem suporte à funcionalidade “login with Microsoft” e aplicativos multilocatários em determinadas condições.

Quando reconheceu o hack e a chave MSA roubada, a gigante do software disse que o Outlook.com e o Exchange Online foram os únicos aplicativos afetados por meio da técnica de falsificação de token, mas uma nova pesquisa mostra que “oincidente parece ter um escopo mais amplo do que inicialmente assumido”.

“A Wiz Research descobriu que a chave de assinatura comprometida era mais poderosa do que parecia e não se limitava apenas a esses dois serviços”, disse a startup em um documento que fornece evidências técnicas de que a chave MSA roubada poderia ter sido usada para forjar tokens de acesso, aplicativos Azure Active Directory, SharePoint, Microsoft Teams e Microsoft OneDrive.

“As organizações que usam os serviços da Microsoft e do Azure devem tomar medidas para avaliar o impacto potencial [além do e-mail]”, disse Tamari.

A pesquisa da Wiz segue a notícia de que hackers chineses foram pegos falsificando tokens de autenticação usando uma chave de assinatura corporativa roubada do Azure AD para invadir caixas de entrada de e-mail do M365. O hack, que levou ao roubo de e-mails de aproximadamente 25 organizações, tornou-se um embaraço ainda maior quando os clientes reclamaram que não tinham visibilidade para investigar porque não estavam pagando pela licença E5/G5 de alto nível.

No início desta semana, a Microsoft cedeu à pressão do público e anunciou que liberaria o acesso aos logs de segurança na nuvem e expandiria os padrões de log para clientes M365 de nível inferior para ajudar na análise forense pós-incidente.

No entanto, Tamari, da Wiz, alerta que pode ser difícil para os clientes de detectar o uso de tokens forjados em seus aplicativos devido à falta de logs em campos cruciais relacionados ao processo de verificação de token. Embora a Microsoft tenha revogado a chave comprometida, o que significa que os aplicativos do Azure Active Directory não aceitarão mais tokens forjados como tokens válidos, Tamari diz que alguns problemas permanecem.

“Acreditamos que este evento terá implicações duradouras em nossa confiança na nuvem e nos principais componentes que a suportam”, disse a Wiz, observando que é muito difícil determinar a extensão total do incidente.

FONTE: CISO ADVISOR

POSTS RELACIONADOS