Hackers chineses roubam chave de assinatura da Microsoft para atingir o governo. Organizações.

Por Xerife Tech, 8.01.2024 às 20:58 575

Em abril, hackers chineses chamados Storm-0558 roubaram uma chave de assinatura da Microsoft e usaram essa chave para invadir a conta do governo do despejo de memória do Windows depois que o hacker infectou a conta cooperativa de um engenheiro da Microsoft.

Com isso, os hackers usaram a chave da Microsoft para invadir o Azure Active Directory e Exchange Online de várias organizações governamentais nos Estados Unidos. Além disso, os hackers utilizaram o problema de dia zero em GetAcessTokenForResourceAPI, que autorizou os hackers a criar tokens de acesso assinados e imitar contas nas organizações visadas

Microsoft disse que descobriu que a chave MSA vazou em um despejo de memória quando o sistema de assinatura do consumidor travou no início deste ano.

No entanto, o despejo de memória não deveria ter incluído a chave MSI, embora uma situação de corrida tenha levado à adição da chave MSI. O despejo de memória foi posteriormente transferido da rede de produção isolada da Microsoft para o espaço de depuração corporativa conectado à Internet da empresa.

Ler: Serviço de e-mail do governo dos EUA hackeado em uma campanha direcionada

Conforme mencionado acima, os hackers encontraram a chave MSI infectando a conta corporativa do engenheiro da empresa, que teve acesso ao domínio de depuração que carregava a chave por engano no despejo de memória no início deste ano.

Além disso, a empresa acrescentou, devido às políticas de retenção de logs, que não possuem um log com evidências específicas da exfiltração pelo hacker, embora este tenha sido o método mais provável pelo qual o autor da ameaça obteve a chave. Além disso, nossa verificação de credenciais não detecta sua presença, o que significa que o problema foi corrigido.

Dito isto, quando a empresa revelou o incidente em julho, apenas o Outlook e o Exchange Online foram afetados. No entanto, pesquisador de segurança Shir Tamari disse a chave de assinatura do consumidor infectado da Microsoft deu aos hackers amplo acesso aos serviços em nuvem da Microsoft.

O pesquisador de segurança disse que a chave pode ser usada para imitar qualquer conta em qualquer cliente infectado ou qualquer aplicativo baseado em nuvem e aplicativos gerenciados Sharepoint, Outlook e Team, incluindo aqueles aplicativos que permitem login com função da Microsoft e aqueles que suportam a autenticação da Microsoft.

Ami Luttwak, C0-fundador do Wiz, mencionou que tudo no mundo da Microsoft aproveita os tokens de autenticação do Azure Active Directory para acesso. O antigo certificado de chave pública revela que foi emitido em abril de 2015 e expirou em abril de 2021.

A empresa de segurança Redmond acrescentou ainda que a chave de segurança comprometida só poderia ser usada para direcionar aplicativos que aceitassem contas pessoais e tivessem o erro de validação utilizado pelo Storm-0558.

Agora, em resposta à violação de segurança, a empresa repeliu todas as chaves de assinatura MSI válidas para evitar que os invasores obtivessem acesso a qualquer uma das chaves comprometidas.

Isso não apenas bloqueia ainda mais tentativas de criar novos tokens de acesso. Além disso, a empresa também transferiu os tokens de acesso recentemente criados para o armazenamento de chaves usado pelas máquinas corporativas.

Desde a revogação das chaves roubadas, a Microsoft não encontrou mais nenhuma prova de acesso não autorizado às contas dos clientes que empregam o mesmo método de falsificação de token de autenticação.

Além disso, quando coagida pela CISA, a empresa também concordou em aumentar o acesso aos dados de registro em nuvem gratuitamente para ajudar os defensores a detectar o mesmo tipo de tentativas de invasão no futuro.

Ler: Google apresenta sua ferramenta de pesquisa de IA na Índia

[ad_2]

Comentários 0

Por favor, dê-nos o seu valioso comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *