0
0
O mistério de como os hackers chineses conseguiram roubar uma chave de assinatura crucial que lhes permitiu violar o serviço de e-mail do Microsoft 365 e acessar contas de funcionários de 25 agências governamentais foi explicado: eles a encontraram em algum lugar onde não deveria estar – o ambiente corporativo da Microsoft .
O roubo de uma chave de assinatura da Microsoft
Resumidamente:
- A chave foi incluída no crash dump de um sistema de assinatura de consumidor localizado no “ambiente de produção altamente isolado e restrito da Microsoft”.
- A Microsoft não percebeu
- O crash dump foi movido para o ambiente de depuração da empresa na rede corporativa conectada à Internet
- Algum tempo depois, os hackers conseguiram comprometer a conta corporativa de um engenheiro da Microsoft, acessar o ambiente de depuração, obter o despejo de memória e extrair a chave
Ou, pelo menos, a Microsoft acredita que tudo aconteceu assim. “Devido às políticas de retenção de registros, não temos registros com evidências específicas dessa exfiltração por esse ator, mas esse foi o mecanismo mais provável pelo qual o ator adquiriu a chave”, disse a empresa na quarta-feira.
A chave de assinatura foi incluída no instantâneo do processo travado de um sistema de assinatura do consumidor devido a uma condição de corridainesperada e sua presença no despejo de memória não foi detectada pelos métodos de verificação de credenciais da Microsoft. (A condição de corrida foi resolvida e a verificação de credenciais aprimorada, afirma a Microsoft.)
Mas como é que uma chave de consumidor conseguiu conceder acesso ao correio empresarial?
A empresa disse anteriormente que as chaves MSA (consumidor) e as chaves Azure AD (empresa) são emitidas e gerenciadas a partir de sistemas separados e só deveriam ser válidas para seus respectivos sistemas, mas que os invasores exploraram um problema de validação de token.
“Para atender à crescente demanda dos clientes para oferecer suporte a aplicativos que funcionam com aplicativos de consumo e corporativos, a Microsoft introduziu um endpoint de publicação de metadados de chave comum em setembro de 2018. Como parte dessa oferta convergente, a Microsoft atualizou a documentação para esclarecer os requisitos para validação de escopo de chave – que chave a ser usada para contas corporativas e qual usar para contas de consumidores”, explicou a empresa agora .
“Como parte de uma biblioteca pré-existente de documentação e APIs auxiliares, a Microsoft forneceu uma API para ajudar a validar as assinaturas criptograficamente, mas não atualizou essas bibliotecas para realizar essa validação de escopo automaticamente (esse problema foi corrigido). Os sistemas de correio foram atualizados para usar o endpoint de metadados comum em 2022. Os desenvolvedores no sistema de correio assumiram incorretamente que as bibliotecas realizaram a validação completa e não adicionaram a validação de emissor/escopo necessária. Assim, o sistema de correio aceitaria uma solicitação de e-mail corporativo usando um token de segurança assinado com a chave do consumidor (esse problema foi corrigido usando as bibliotecas atualizadas).”
Algumas perguntas ainda não foram respondidas
Os pesquisadores do Wiz descobriram anteriormente que a chave em questão foi substituída em algum momento entre 27 de junho e 5 de julho de 2023, mas expirou em 4 de abril de 2021.
Então, por que isso não impediu que fosse considerado válido pelos serviços em nuvem da Microsoft dois anos depois? A Microsoft não disse.
No entanto, a violação levou a um resultado positivo: a partir deste mês, mais clientes governamentais federais e comerciais da Microsoft obterão recursos expandidos de registro em nuvem gratuitamente, para facilitar a investigação de invasões.
FONTE: HELPNET SECURITY