Os agentes de ameaças ligados à China que roubaram o Departamento de Estado dos EUA e outros e-mails de clientes da Microsoft podem ter adquirido acesso a outros aplicativos além Exchange Online e Outlook.com.
De acordo com pesquisadores da Wiz, o chave de assinatura comprometida era mais potente do que parecia à primeira vista e não se restringia apenas a esses dois serviços.
O ator da ameaça pode ter conseguido forjar tokens de acesso para uma variedade de aplicativos do Azure Active Directory, incluindo qualquer um que suporte autenticação de conta pessoal, como SharePoint, Teams ou OneDrive, bem como aplicativos de clientes que suportam o “login com a Microsoft”. recursos e aplicativos multilocatários em circunstâncias específicas.
É aconselhável que as organizações procurem casos de uso de tokens forjados em quaisquer aplicativos potencialmente comprometidos.
Visão geral do hack
A Microsoft emitiu um alerta no início deste mês, depois que um grupo avançado de ameaças persistentes, ao qual se refere como Storm-0558, violou os sistemas de cerca de 25 clientes em todo o mundo, incluindo vários clientes governamentais.
Os hackers supostamente obtiveram acesso a e-mails privados da secretária de Comércio dos EUA, Gina Raimondo, e de outros indivíduos importantes.
O Agência de Segurança Cibernética e de Infraestrutura (CISA) colaborou com a Microsoft nos esforços para mitigar os danos e examinar mais detalhadamente como os hackers inicialmente obtiveram acesso depois que as autoridades governamentais informaram a Microsoft sobre o incidente.
De acordo com uma declaração da Microsoft no início deste mês, o agente da ameaça criou tokens de acesso para Exchange Online e Outlook.com depois de obter acesso a uma chave de assinatura do consumidor MSA.
O Estudo da Wiz revela que a chave dá aos usuários acesso a uma gama significativamente maior de aplicativos.
As chaves de assinatura usadas pelos provedores de identidade estão entre os segredos comerciais mais poderosos da atualidade. Eles são muito mais potentes do que Chaves TLSpor exemplo.
Para causar um grande impacto, um invasor ainda precisaria se passar por um servidor google.com, mesmo que tivesse acesso à chave TLS do google.com. Pode-se acessar instantânea e diretamente qualquer caixa de e-mail, serviço de arquivo ou conta na nuvem usando chaves do provedor de identidade.
Para proteger chaves importantes como esta, a nossa indústria, nomeadamente os fornecedores de serviços em nuvem, deve comprometer-se com maior segurança e transparência.
Quais aplicativos são afetados?
A análise diz que o problema afetou apenas os aplicativos do Azure Active Directory que usam o OpenID v2 da Microsoft.0. Aplicativos em execução na versão 1.0 não foram afetados, pois o processo de validação do token não usou a chave comprometida.
Recomendação
- Pesquise o uso de tokens forjados e use os Indicadores de Compromisso (IoCs) publicados pela Microsoft para procurar qualquer atividade originada nos endereços IP fornecidos pela Microsoft.
- Verifique se nenhum aplicativo está usando a versão em cache dos certificados públicos Microsoft OpenID e limpe o cache, se estiver.
- A Microsoft introduziu verificações extras no SDK oficial do Azure para evitar o uso de chaves MSA para autenticar contas da organização. A versão mais recente do pacote deve ser atualizada pelos usuários.
