0
0
A violação Storm-0558 que deu aos atores chineses de ameaças persistentes avançadas (APT) acesso a e-mails em pelo menos 25 agências governamentais dos EUA pode ser muito mais abrangente e impactante do que qualquer um previu, potencialmente colocando em risco uma faixa muito mais ampla de serviços em nuvem da Microsoft do que se pensava anteriormente.
Mas a falta de registro de autenticação em muitas organizações significa que o escopo total do comprometimento real decorrente da situação levará semanas, senão meses, para ser determinado.
Na violação de e-mail, uma chave roubada da conta da Microsoft (MSA) permitiu que o Storm-0558 APT forjasse tokens de autenticação para se disfarçar como usuários autorizados do Azure Active Directory (AD) , obtendo acesso às contas de e-mail corporativo do Microsoft 365 e às informações potencialmente confidenciais contidas.
Mas acontece que a chave MSA roubada poderia ter permitido que o agente da ameaça também forjasse tokens de acesso para “vários tipos de aplicativos do Azure Active Directory, incluindo todos os aplicativos que suportam autenticação de conta pessoal, como SharePoint, Teams, OneDrive, aplicativos de clientes que suportam a funcionalidade ‘login with Microsoft’ e aplicativos multilocatários em certas condições”, de acordo com a pesquisa da Wiz divulgada em 21 de julho.
Contas pessoais da Microsoft para serviços como Skype e Xbox também são vulneráveis.
Shir Tamari, chefe de pesquisa da Wiz, observou que o APT pode estar em posição de ter “acesso imediato a tudo, qualquer caixa de e-mail, serviço de arquivo ou conta na nuvem”.
A Microsoft confirmou as descobertas da empresa, observou Tamari em um post de 21 de julho.
Determinando o escopo da violação Storm-0558
A Microsoft revogou a chave roubada no início de julho e divulgou indicadores de comprometimento (IoCs) para o ataque por e-mail. Mas, infelizmente, avaliar se os atores do Storm-0558 realmente usaram o acesso mais amplo a qualquer um dos milhões de aplicativos suscetíveis adicionais será muito mais fácil dizer do que fazer.
“Descobrimos que pode ser difícil para os clientes detectar o uso de tokens falsificados em seus aplicativos devido à falta de logs em campos cruciais relacionados ao processo de verificação de tokens”, explicou Tamari.
Isso está relacionado ao chamado “imposto de registro” que veio à tona após a divulgação original da violação Storm-0558 da Microsoft na semana passada: muitos clientes da Microsoft não tiveram visibilidade quanto ao impacto dos ataques em seus negócios, porque o registro avançado que poderia detectar o comportamento anômalo só estava disponível como parte de um serviço premium pago. Em poucos dias, a Microsoft cedeu à pressão da indústria, comprometendo-se a tornar o acesso ao registro avançado gratuito , mas essa mudança vai demorar um pouco para os clientes implementarem e usarem globalmente.
“Infelizmente, há uma falta de práticas padronizadas quando se trata de logs específicos de aplicativos. Portanto, na maioria dos casos, os proprietários de aplicativos não possuem logs detalhados contendo o token de acesso bruto ou sua chave de assinatura”, escreveu Tamari. “Como resultado, identificar e investigar tais eventos pode ser extremamente desafiador para os proprietários de aplicativos”.
No entanto, as apostas continuam altas, observou Yossi Rachman , diretor de pesquisa de segurança da empresa de segurança AD Semperis. “A principal preocupação aqui é entender como exatamente os agentes de ameaças conseguiram colocar as mãos na chave comprometida do Azure AD, pois esses tipos de violações têm o potencial de se transformar rapidamente em um evento em escala SolarWinds . ”
Os clientes do Azure AD ainda podem estar em risco
Wiz alertou que, apesar da revogação da chave, alguns clientes do Azure AD ainda poderiam ser alvos fáceis, uma vez que Storm-0558 poderia ter aproveitado seu acesso para estabelecer persistência emitindo chaves de acesso específicas do aplicativo ou configurando backdoors.
Além disso, todos os aplicativos que retiveram cópias das chaves públicas do Azure AD antes da revogação e os aplicativos que dependem de armazenamentos de certificados locais ou chaves em cache que podem não ter sido atualizados permanecem suscetíveis à falsificação de token.
“É imperativo que esses aplicativos atualizem imediatamente a lista de certificados confiáveis”, insistiu Tamari. “A Microsoft aconselha atualizar o cache de armazenamentos e certificados locais pelo menos uma vez por dia.”
Além disso, Wiz, que listou detalhes em sua postagem sobre quais configurações específicas do Azure AD estariam em risco de um ataque, aconselhou as organizações a atualizar seus SDKs do Azure para a versão mais recente e garantir que seus caches de aplicativos sejam atualizados.
“O impacto total deste incidente é muito maior do que pensávamos inicialmente”, observou Tamari. “Acreditamos que este evento terá implicações duradouras em nossa confiança na nuvem e nos principais componentes que a suportam, acima de tudo, a camada de identidade que é a estrutura básica de tudo o que fazemos na nuvem . Devemos aprender com isso e melhorar.”
FONTE: DARKREADING