Estás leyendo la publicación: Hackers chinos roban clave de firma de Microsoft para atacar al gobierno. Organizaciones.
En abril, piratas informáticos chinos llamados Storm-0558 robaron una clave de firma de Microsoft y la usaron para ingresar a la cuenta del gobierno desde el volcado de memoria de Windows después de que el pirata informático infectara la cuenta de cooperación de un ingeniero de Microsoft.
Con esto, los piratas informáticos utilizaron la clave de Microsoft para ingresar a Azure Active Directory y Exchange Online de varias organizaciones gubernamentales en los Estados Unidos. Además, los piratas informáticos utilizaron el problema de día cero en GetAcessTokenForResourceAPI, que los autorizó a crear tokens de acceso firmados e imitar cuentas en las organizaciones objetivo.
microsoft dijo que descubrió que la clave MSA se filtró en un volcado de memoria cuando el sistema de firma del consumidor falló a principios de este año.
Sin embargo, el volcado de memoria no debería haber incluido la clave MSI, aunque una situación de carrera llevó a que se agregara la clave MSI. Posteriormente, el volcado de memoria se transfirió desde la red de producción aislada de Microsoft al espacio de depuración corporativo conectado a Internet de la empresa.
Leer: Servicio de correo electrónico del gobierno de EE. UU. pirateado en una campaña dirigida
Como se mencionó anteriormente, los piratas informáticos encontraron la clave MSI al infectar la cuenta corporativa del ingeniero de la empresa, que tenía acceso al dominio de depuración que llevaba la clave por error en el volcado de memoria a principios de este año.
Además, la compañía agregó que debido a las políticas de retención de registros, no tienen un registro con evidencia específica de la exfiltración por parte del pirata informático, aunque este fue el método más probable mediante el cual el actor de la amenaza obtuvo la clave. Además de esto, nuestro escaneo de credenciales no detecta su presencia, lo que significa que el problema se ha solucionado.
Dicho esto, cuando la compañía reveló el incidente en julio, sólo Outlook y Exchange Online se vieron afectados. Sin embargo, el investigador de seguridad Shir Tamari dijo La clave de firma del consumidor de Microsoft infectada les dio a los piratas informáticos un amplio acceso a los servicios en la nube de Microsoft.
El investigador de seguridad dijo que la clave se puede usar para imitar cualquier cuenta dentro de cualquier cliente infectado o cualquier aplicación basada en la nube y aplicaciones administradas Sharepoint, Outlook y Team, incluidas aquellas aplicaciones que permiten iniciar sesión con la función de Microsoft y aquellas que admiten la autenticación de Microsoft.
Ami Luttwak, fundador C0 de Wiz, mencionó que todo en el mundo de Microsoft aprovecha los tokens de autenticación de Azure Active Directory para acceder. El antiguo certificado de clave pública revela que fue emitido en abril de 2015 y expiró en abril de 2021.
La firma de seguridad Redmond agregó además que la clave de seguridad comprometida solo podría usarse para apuntar a aplicaciones que aceptaran cuentas personales y tuvieran el error de validación utilizado por Storm-0558.
Ahora, en respuesta a la violación de seguridad, la empresa repelió todas las claves de firma MSI válidas para evitar que los atacantes tuvieran acceso a cualquiera de las claves comprometidas.
Esto no sólo bloquea aún más cualquier intento de crear nuevos tokens de acceso. No solo esto, la compañía también trasladó los tokens de acceso creados recientemente al almacén de claves utilizado por las máquinas empresariales.
Desde que revocó las claves robadas, Microsoft no ha encontrado más pruebas de acceso no autorizado a las cuentas de los clientes que emplean el mismo método de falsificación de tokens de autenticación.
Además, cuando fue coaccionada por la CISA, la empresa también acordó aumentar el acceso a los datos de registro en la nube de forma gratuita para ayudar a los defensores a detectar el mismo tipo de intentos de robo en el futuro.
Leer: Google presenta su herramienta de búsqueda con IA en la India
