0
0
Vários erros de segurança por parte da Microsoft permitiram que um agente de ameaças baseado na China falsificasse tokens de autenticação e acessasse e-mails de usuários de cerca de 25 clientes corporativos da Microsoft no início deste ano, mostrou a investigação da empresa.
Os ataques de um grupo chinês de espionagem cibernética que a Microsoft está rastreando como Storm-0558 foram dignos de nota porque envolveram o ator da ameaça usando uma chave de assinatura de consumidor de conta da Microsoft (MSA) para falsificar tokens do Azure AD para acessar contas de email corporativas. As chaves de consumidor MSA normalmente são usadas para entrar criptograficamente em um aplicativo ou serviço de consumidor da Microsoft, como Outlook.com, OneDrive e Xbox Live.
Campanha de espionagem cibernética
Acredita-se que o Storm-0558 seja um grupo de espionagem cibernética do nexo da China que está ativo pelo menos desde 2021. Os seus alvos incluem entidades diplomáticas dos EUA e da Europa, órgãos legislativos, empresas de comunicação social, fornecedores de serviços de Internet e fabricantes de equipamentos de telecomunicações. Em muitos de seus ataques, o agente da ameaça usou coleta de credenciais, campanhas de phishing e ataques de token OAuth para obter acesso a contas de e-mail alvo.
A Microsoft descobriu a última campanha do grupo em maio, quando um cliente relatou atividades anômalas envolvendo sua conta do Exchange Server. A investigação inicial da empresa mostrou que o grupo ameaçador acessou os dados online do Exchange do cliente através do Outlook Web Access. No início, a Microsoft presumiu que o adversário havia obtido de alguma forma uma chave de assinatura corporativa do Azure AD e a estava usando para falsificar tokens para autenticação no Exchange Server. Mas uma investigação mais aprofundada mostrou que Storn-0558 na verdade estava usando uma chave de assinatura de consumidor MSA adquirida para falsificar o token – algo que a empresa atribuiu na época a um “erro de validação”.
Em um relatório esta semana , a Microsoft divulgou as conclusões de sua investigação técnica subsequente de dois meses e meio sobre o incidente, que descreve exatamente como a cadeia de ataque funcionou e os erros agora corrigidos que permitiram tudo.
Uma série de erros infelizes
De acordo com a empresa, o problema começou com uma condição de corrida agora resolvida que resultou na presença da chave de assinatura em um crash dump.
Normalmente, a chave de assinatura nunca deveria ter escapado do ambiente de produção seguro da empresa, que é isolado e incorpora vários controles de segurança. Isso inclui verificações de antecedentes de funcionários, contas de produção dedicadas, estações de trabalho seguras e autenticação de dois fatores baseada em token de hardware. “Os controles neste ambiente também impedem o uso de e-mail, conferência, pesquisa na web e outras ferramentas de colaboração, o que pode levar a vetores comuns de comprometimento de contas”, disse a Microsoft em seu relatório desta semana.
Esses controles, no entanto, não foram suficientes quando um sistema de assinatura de chave do consumidor no ambiente de produção travou em abril de 2021 e uma chave de assinatura foi incluída no despejo de memória ou em um instantâneo do sistema travado. Normalmente, a chave deveria ter sido redigida do dump, mas isso não aconteceu devido à condição de corrida. Pior ainda, nenhum dos controles da Microsoft detectou as informações confidenciais no despejo de memória, que eventualmente acabou com a equipe de depuração na rede corporativa da Microsoft conectada à Internet. Aqui, novamente, os controles da empresa para detectar dados de credenciais no ambiente de depuração não conseguiram detectar a chave do consumidor vazada.
Como a Microsoft explicou, embora o ambiente corporativo da empresa seja seguro, ele também permite o uso de e-mail, conferências e outras ferramentas de colaboração que tornam os usuários um pouco mais vulneráveis a ataques de spear-phishing, malware para roubo de tokens e outros vetores de ataque.
Em algum momento, os atores do Storm-0558 conseguiram comprometer com sucesso a conta corporativa de um engenheiro da Microsoft e usaram o acesso da conta ao ambiente de depuração para roubar dados – incluindo a chave de fuga – de lá.
O mistério da chave do consumidor explicado
Quanto à forma como uma chave de consumidor permitiu ao invasor falsificar tokens Azure AD, a Microsoft aponta para um endpoint de publicação de metadados de chave comum estabelecido em setembro de 2018. “Como parte desta oferta convergente, a Microsoft atualizou a documentação para esclarecer os requisitos para validação de escopo de chave – qual chave usar para contas corporativas e qual usar para contas de consumidores”, disse a Microsoft.
Mas aqui, novamente – e por vários motivos relacionados a documentação ambígua e atualizações de biblioteca, APIs e outros fatores – a validação do escopo principal não funcionou conforme o esperado. O resultado líquido foi que “o sistema de e-mail aceitaria uma solicitação de e-mail corporativo usando um token de segurança assinado com a chave do consumidor”, disse a Microsoft.
Para resolver o problema, a Microsoft eliminou a condição de corrida que permitia que os dados principais fossem incluídos em despejos de memória. A empresa também aprimorou seus mecanismos de detecção de chaves de assinatura em locais onde não deveriam estar, inclusive no ambiente de depuração. Além disso, a Microsoft disse que melhorou seu mecanismo automatizado de validação de escopo para eliminar a possibilidade de um acidente semelhante.
FONTE: DARK READING