Como os hackers chineses conseguiram a chave de assinatura de token da Microsoft

Views: 432
0 0
Read Time:3 Minute, 0 Second

O mistério de como os hackers chineses conseguiram roubar uma chave de assinatura crucial que lhes permitiu violar o serviço de e-mail do Microsoft 365 e acessar contas de funcionários de 25 agências governamentais foi explicado: eles a encontraram em algum lugar onde não deveria estar – o ambiente corporativo da Microsoft .

O roubo de uma chave de assinatura da Microsoft

Resumidamente:

  • A chave foi incluída no crash dump de um sistema de assinatura de consumidor localizado no “ambiente de produção altamente isolado e restrito da Microsoft”.
  • A Microsoft não percebeu
  • O crash dump foi movido para o ambiente de depuração da empresa na rede corporativa conectada à Internet
  • Algum tempo depois, os hackers conseguiram comprometer a conta corporativa de um engenheiro da Microsoft, acessar o ambiente de depuração, obter o despejo de memória e extrair a chave

Ou, pelo menos, a Microsoft acredita que tudo aconteceu assim. “Devido às políticas de retenção de registros, não temos registros com evidências específicas dessa exfiltração por esse ator, mas esse foi o mecanismo mais provável pelo qual o ator adquiriu a chave”, disse a empresa na quarta-feira.

A chave de assinatura foi incluída no instantâneo do processo travado de um sistema de assinatura do consumidor devido a uma condição de corridainesperada e sua presença no despejo de memória não foi detectada pelos métodos de verificação de credenciais da Microsoft. (A condição de corrida foi resolvida e a verificação de credenciais aprimorada, afirma a Microsoft.)

Mas como é que uma chave de consumidor conseguiu conceder acesso ao correio empresarial?

A empresa disse anteriormente que as chaves MSA (consumidor) e as chaves Azure AD (empresa) são emitidas e gerenciadas a partir de sistemas separados e só deveriam ser válidas para seus respectivos sistemas, mas que os invasores exploraram um problema de validação de token.

“Para atender à crescente demanda dos clientes para oferecer suporte a aplicativos que funcionam com aplicativos de consumo e corporativos, a Microsoft introduziu um endpoint de publicação de metadados de chave comum em setembro de 2018. Como parte dessa oferta convergente, a Microsoft atualizou a documentação para esclarecer os requisitos para validação de escopo de chave – que chave a ser usada para contas corporativas e qual usar para contas de consumidores”, explicou a empresa agora .

“Como parte de uma biblioteca pré-existente de documentação e APIs auxiliares, a Microsoft forneceu uma API para ajudar a validar as assinaturas criptograficamente, mas não atualizou essas bibliotecas para realizar essa validação de escopo automaticamente (esse problema foi corrigido). Os sistemas de correio foram atualizados para usar o endpoint de metadados comum em 2022. Os desenvolvedores no sistema de correio assumiram incorretamente que as bibliotecas realizaram a validação completa e não adicionaram a validação de emissor/escopo necessária. Assim, o sistema de correio aceitaria uma solicitação de e-mail corporativo usando um token de segurança assinado com a chave do consumidor (esse problema foi corrigido usando as bibliotecas atualizadas).”

Algumas perguntas ainda não foram respondidas

Os pesquisadores do Wiz descobriram anteriormente que a chave em questão foi substituída em algum momento entre 27 de junho e 5 de julho de 2023, mas expirou em 4 de abril de 2021.

Então, por que isso não impediu que fosse considerado válido pelos serviços em nuvem da Microsoft dois anos depois? A Microsoft não disse.

No entanto, a violação levou a um resultado positivo: a partir deste mês, mais clientes governamentais federais e comerciais da Microsoft obterão recursos expandidos de registro em nuvem gratuitamente, para facilitar a investigação de invasões.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS