Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Microsoft sta ancora indagando sulla chiave MSA rubata da attacchi via email
Microsoft ha affermato che sta ancora indagando su come un hacker abbia acquisito la chiave di accesso all'account che ha portato alla violazione degli account di posta elettronica di diversi clienti, comprese le agenzie governative statunitensi.
La settimana scorsa, Microsoft ha rivelato un attore di minacce con sede in Cina che tiene traccia mentre Storm-0558 ha violato gli account di posta elettronica utilizzando Outlook Web Access (OWA) in Exchange Online e Outlook.com per scopi di spionaggio. Per ottenere l'accesso, gli operatori Storm-0558 hanno rubato una chiave di firma consumer di un account Microsoft (MSA) per falsificare token per consentire agli utenti aziendali e MSA di Azure Active Directory (AD) di accedere agli account Exchange Online e OWA.
L'attacco ha colpito circa 25 organizzazioni, comprese agenzie governative, e ha giustificato un avviso da parte della CISA, secondo la quale un'agenzia federale dell'esecutivo civile ha inizialmente rilevato l'attività sospetta a giugno ed è stata la prima a segnalare l'attività a Microsoft. Sebbene sia CISA che Microsoft abbiano confermato la scorsa settimana che una chiave MSA è stata rubata, non è stato rivelato come.
Microsoft ha pubblicato un aggiornamento venerdì pomeriggio in cui ha confermato che la società non sa come sia stata acquisita la chiave MSA rubata. Tuttavia, sembra anche che la tecnica di Storm-0558 sia stata repressa dalle misure adottate da Microsoft.
"Il metodo con cui l'attore ha acquisito la chiave è oggetto di indagini in corso", ha scritto Microsoft in un post sul blog. "Non è stata osservata alcuna attività dell'attore correlata alla chiave da quando Microsoft ha invalidato la chiave di firma MSA acquisita dall'attore. Inoltre, abbiamo visto la transizione di Storm-0558 ad altre tecniche, il che indica che l'attore non è in grado di utilizzare o accedere ad alcuna chiave di firma. "
Inoltre, Microsoft ha affermato che l'autore della minaccia è stato in grado di utilizzare la chiave rubata a causa di un "errore di convalida nel codice Microsoft". Questo errore ha consentito a Storm-0558 di utilizzare una chiave destinata solo agli account MSA anche sui token di autenticazione di Azure AD.
Un altro nuovo dettaglio fornito nel blog di venerdì mostrava che la chiave di firma del consumatore MSA rubata era inattiva. Non è chiaro come gli aggressori possano ancora utilizzarlo per forgiare token.
Microsoft ha rifiutato di commentare ulteriormente.
La tecnica di identità per l'accesso di Storm-0558 prevedeva l'uso di API, che pongono continue sfide alla sicurezza per le aziende. Microsoft ha affermato che dopo che gli aggressori hanno sfruttato i token contraffatti per ottenere l'accesso attraverso un flusso di client legittimo, gli operatori Storm-0558 hanno sfruttato un difetto nella GetAccessTokenForResourceAPI, che è stata corretta il 26 giugno.
"L'attore è riuscito a ottenere nuovi token di accesso presentandone uno precedentemente emesso da questa API a causa di un difetto di progettazione", si legge nel post sul blog. "Gli attori hanno utilizzato i token per recuperare i messaggi di posta dall'API OWA."
Questo accesso ha aiutato Storm-0558 a scaricare e-mail e allegati, a individuare e scaricare conversazioni e a recuperare informazioni sulle cartelle e-mail. L’ambito dell’esfiltrazione dei dati rimane poco chiaro, ma la CISA ha confermato che non è stato effettuato l’accesso a informazioni riservate dai conti delle agenzie governative.
Microsoft ha affermato di aver completato la sostituzione della chiave il 29 giugno, il che dovrebbe "impedire all'autore della minaccia di utilizzarla per falsificare token". Da allora sono state rilasciate nuove chiavi di firma in sistemi sostanzialmente aggiornati.
A seguito della violazione, Microsoft ha aumentato l’isolamento dei sistemi Exchange Online e Outlook dagli ambienti, dalle applicazioni e dagli utenti aziendali. Il colosso del software ha inoltre aumentato gli avvisi automatizzati relativi al monitoraggio chiave.
Al momento sembra che la campagna sia stata bloccata, ma Microsoft continua a monitorare l'attività di Storm-0558.
Arielle Waldman è una giornalista con sede a Boston che si occupa di notizie sulla sicurezza aziendale.