Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Microsoft все еще расследует украденный ключ MSA в результате атак по электронной почте
Microsoft заявила, что все еще расследует, как злоумышленник получил ключ для входа в учетную запись, который привел к взлому учетных записей электронной почты нескольких клиентов, включая правительственные учреждения США.
На прошлой неделе Microsoft раскрыла информацию о находящемся в Китае злоумышленнике, которого она отслеживает, поскольку Storm-0558 взломал учетные записи электронной почты с помощью Outlook Web Access (OWA) в Exchange Online и Outlook.com в шпионских целях. Чтобы получить доступ, операторы Storm-0558 украли потребительский ключ подписи учетной записи Microsoft (MSA), чтобы подделать токены для корпоративных пользователей Azure Active Directory (AD) и пользователей MSA для доступа к учетным записям Exchange Online и OWA.
Атака затронула около 25 организаций, включая правительственные учреждения, и потребовала рекомендации от CISA, в котором говорилось, что федеральное гражданское агентство исполнительной власти первоначально обнаружило подозрительную деятельность в июне и первым сообщило о ней в Microsoft. Хотя CISA и Microsoft на прошлой неделе подтвердили, что ключ MSA был украден, не сообщается, каким образом.
В пятницу днем Microsoft опубликовала обновление, в котором подтвердила, что компания не знает, как был получен украденный ключ MSA. Однако похоже, что технология Storm-0558 была подавлена мерами Microsoft.
«Метод, с помощью которого злоумышленник получил ключ, является предметом продолжающегося расследования», — написала Microsoft в своем блоге. «Никакой активности субъекта, связанной с ключами, не наблюдалось с тех пор, как Microsoft признала недействительным ключ подписи MSA, полученный актером. Кроме того, мы видели переход Storm-0558 к другим методам, что указывает на то, что субъект не может использовать или получить доступ к каким-либо ключам подписи. "
Кроме того, Microsoft заявила, что злоумышленник смог использовать украденный ключ из-за «ошибки проверки в коде Microsoft». Эта ошибка позволила Storm-0558 также использовать ключ, предназначенный только для учетных записей MSA, в токенах аутентификации Azure AD.
Еще одна новая деталь, представленная в пятничном блоге, показала, что украденный потребительский ключ подписи MSA неактивен. Неясно, как злоумышленники могут использовать его для подделки токенов.
Microsoft отказалась от дальнейших комментариев.
Метод идентификации доступа Storm-0558 включал использование API-интерфейсов, которые создают постоянные проблемы безопасности для предприятий. В Microsoft заявили, что после того, как злоумышленники использовали поддельные токены для получения доступа через законный клиентский поток, операторы Storm-0558 воспользовались уязвимостью в GetAccessTokenForResourceAPI, которая была исправлена 26 июня.
«Актёр смог получить новые токены доступа, предъявив один, ранее выданный через этот API, из-за конструктивного недостатка», — говорится в сообщении в блоге. «Актеры использовали токены для получения почтовых сообщений из OWA API».
Этот доступ помог Storm-0558 загружать электронные письма и вложения, находить и загружать разговоры, а также получать информацию о папке электронной почты. Масштабы кражи данных остаются неясными, но CISA подтвердило, что из счетов правительственных учреждений не было получено никакого доступа к секретной информации.
Microsoft заявила, что завершила замену ключа 29 июня, что должно «не дать злоумышленнику использовать его для подделки токенов». С тех пор новые ключи подписи были выпущены в существенно обновленных системах.
В результате взлома Microsoft усилила изоляцию систем Exchange Online и Outlook от корпоративных сред, приложений и пользователей. Гигант программного обеспечения также увеличил количество автоматических оповещений, связанных с мониторингом ключей.
На данный момент похоже, что кампания заблокирована, но Microsoft продолжает следить за активностью Storm-0558.
Ариэль Уолдман — репортер из Бостона, освещающий новости корпоративной безопасности.